Применение MaxPatrol 8
в процессе управления
уязвимостями.
Версия 8.25.7
Учебное пособие
ПТ03
PT-MP-CS
© Positive Technologies, 2023.
Настоящий документ является собственностью Positive Technologies и защищен
законодательством Российской Федерации и международными соглашениями об авторских
правах и интеллектуальной собственности.
Копирование документа либо его фрагментов в любой форме, распространение, в том числе в
переводе, а также их передача третьим лицам возможны только с письменного разрешения
Positive Technologies.
Документ может быть изменен без предварительного уведомления.
Товарные знаки, использованные в тексте, приведены исключительно в информационных
целях, исключительные права на них принадлежат соответствующим правообладателям.
Дата редакции документа: 10.03.2023
1. Введение
Информационная система (ИС) — совокупность содержащейся в базах данных информации и
обеспечивающих ее обработку информационных технологий и технических средств.
Существует угроза вмешательства в процессы нормального функционирования ИС и
несанкционированного доступа к ресурсам ИС со стороны злоумышленников.
Угроза — это совокупность условий и факторов, создающих потенциальную или реально
существующую опасность нарушения безопасности информации. Условием реализации
угрозы безопасности, обрабатываемой в системе информации, может быть недостаток или
слабое место в ИС.
Уязвимость ИС — это свойство ИС, обусловливающее возможность реализации угроз
безопасности, обрабатываемой в ней информации.
Условиями уязвимости ИС могут быть:
уязвимости аппаратного и программного обеспечения;
некорректной политикой безопасности;
ошибками в реализации и/или конфигурации аппаратного и программного обеспечения;
слабостью парольной политики.
Для выявления и устранения или снижения последствий эксплуатации в ИС уязвимостей
необходимо проводить процесс управления уязвимостями. Кроме того, для эффективной
защиты ИС важно контролировать ее соответствие стандартам безопасности. Контроль
соответствия стандартам обеспечивает выполнение требований российских регуляторов,
международных отраслевых стандартов, корпоративных регламентов и best practices.
В этом разделе
Процесс управления уязвимостями (см.раздел1.1)
Режимы работы MaxPatrol8 (см.раздел1.2)
Архитектура MaxPatrol8 (см.раздел1.3)
Схема лицензирования (см.раздел1.4)
Практическая работа 1. Установка системы MaxPatrol8 (см.раздел1.5)
3Введение
1.1. Процесс управления уязвимостями
Процесс управления уязвимостями предотвращает использование известных уязвимостей,
которые могут существовать в защищаемой ИС. Чтобы обеспечить безопасность ИС, процесс
управления уязвимостями должен быть непрерывным. При этом необходимо:
Провести инвентаризацию активов ИС (составить список оборудования, программного
обеспечения, операционных систем, приложений, и т.д. А также определить
местоположение, роль и владельца узла).
Классифицировать активы, то есть поделить узлы на группы (серверы, сетевое
оборудование, рабочие станции, СУБД) и определить критичности узлов.
Обнаружить уязвимости и несоответствия установленным требованиям (регламентам,
политикам, стандартам, лучшим практикам).
Сформировать запрос в отдел информационных технологий на устранение уязвимостей
или снижение последствий их эксплуатации.
Выполнить запрос, который был создан в предыдущем пункте.
Удостовериться, что уязвимости нельзя эксплуатировать.
Рисунок1. Схема процесса управления уязвимостями
4Введение
Поиск уязвимостей может опираться на какую-либо методологию, например:
тестирование на устойчивость к взлому (Penetration Test);
инструментальный контроль наличия уязвимостей.
Многие действия, выполняемые в ходе поиска уязвимостей, могут быть автоматизированы.
Например, инструментальный контроль наличия уязвимостей может быть автоматизирован
практически полностью, начиная от сбора информации и заканчивая формированием отчета.
С другой стороны, этап планирования и реализации атак, возникающий в ходе тестирования на
устойчивость к взлому, вряд ли может быть полностью автоматизирован.
Для инструментального обеспечения процесса управления уязвимостями компания Positive
Technologies предлагает следующие программные средства:
MaxPatrol8 (далее — MaxPatrol8) для:
инвентаризации активов ИС;
поиска уязвимостей и несоответствий стандартам.
MP Report Portal — для оценки эффективности процесса управления уязвимостями;
MP Tracker — для запроса на устранения уязвимостей;
WSUS Package Publisher — для устранения уязвимостей.
1.2. Режимы работы MaxPatrol8
Система контроля защищенности и соответствия стандартам MaxPatrol8 проверяет
информационные режимы в следующих режимах:
1. Тестирование на проникновение (PenTest).
2. Системные проверки (Audit).
3. Контроль соответствия стандартам (Compliance).
Режим PenTest объединил в себе проверки, типичные для сканера сетевого уровня: так
называемые баннерные проверки, эксплойты, подбор учетных записей. Режим ориентирован
на минимальные привилегии в тестируемой системе. MaxPatrol8 выполняет и
специализированные проверки, направленные, например, на анализ защищенности веб-
приложений и СУБД.
Режим Audit позволяет выполнять проверки посредством удаленного доступа к объектам
сканирования. Режим Audit может быть использован для контроля обновлений, анализа
конфигураций, локальной оценки стойкости паролей. Для локальной оценки стойкости паролей
MaxPatrol8 скачивает хеш.
Режим Compliance позволяет проводить проверки на соответствие требованиям различных
стандартов. При этом могут быть учтены как простые технические требования, например,
длина или возраст паролей, так и более сложные, например отсутствие устаревшего
программного обеспечения. Вы можете создавать свои стандарты.
5Введение
1.3. Архитектура MaxPatrol8
Система контроля защищенности и соответствия стандартам MaxPatrol построена на основе
трехуровневой архитектуры, ее основные компоненты и их условные обозначения приведены
в таблице ниже.
Таблица1. Основные компоненты MaxPatrol
Название Код Описание
MaxPatrol8 Server MaxPatrol8-SRV Система управления MaxPatrol8 и одно
сканирующее ядро
MaxPatrol8 Mobile
Server
MaxPatrol8-M Мобильный комплекс на базе
MaxPatrol8 Server
MaxPatrol8 Scanner MaxPatrol8-SCN Дополнительное сканирующее ядро,
подключаемое к MaxPatrol8 Server
MaxPatrol8
Consolidation Server
MaxPatrol8-CS Сервер консолидации MaxPatrol8
MaxPatrol8 Local
Update Server
MaxPatrol8-LUS Локальный сервер обновлений системы
MaxPatrol8
MaxPatrol8 Console MaxPatrol8-CON Консоль управления системой
MaxPatrol8
Offline-сканер Офлайн-сканер
Рассмотрим эти компоненты подробнее.
В этом разделе
MaxPatrol8 Server (MP-SRV) (см.раздел1.3.1)
MaxPatrol8 Scanner (MP-SCN) (см.раздел1.3.2)
Сервер консолидации (MaxPatrol8 Consolidation Server, MP-CS) (см.раздел1.3.3)
Локальный сервер обновлений (MaxPatrol8 Local Update Server, MaxPatrol8–LUS)
(см.раздел1.3.4)
Консоль управления (MaxPatrol8 Console) (см.раздел1.3.5)
Мобильный комплекс MaxPatrol8 Mobile Center (см.раздел1.3.6)
Offline-сканер (см.раздел1.3.7)
Взаимодействие компонентов (см.раздел1.3.8)
6Введение
1.3.1. MaxPatrol8 Server (MP-SRV)
Это серверный компонент, выполняющий все основные функции системы, к которым
относятся:
сканирование;
сбор данных и их обработку;
сохранение результатов в базе данных;
формирование отчетов.
В MaxPatrol8 Server входит сканирующее ядро, которое поддерживает вышеперечисленные
режимы сканирования PenTest, Audit и Compliance.
MaxPatrol8 Server имеет следующие базовые варианты поставки:
PenTest (MP-SRV-P);
PenTest & Audit (MP-SRV-PA);
PenTest & Audit & Compliance (MP-SRV-PAC).
Сервер использует встроенную базу данных, либо сохранять данные во внешней СУБД уровня
предприятия. В этом случае к коду добавляется дополнительный суффикс RD, например: MP-
SRV-Р-RD; обозначает MP Server с модулем PenTest и возможностью хранения результатов во
внешней БД).
При необходимости работы с сервером консолидации, сервер MaxPatrol8 должен
поддерживать эту возможность, что обозначается кодом CS (например, MP-SRV-Р-CS). Таким
образом, конкретный вариант поставки MaxPatrol8 Server и соответствующий код будет
зависеть от выбранных функций.
Если есть необходимость использовать сервер для сканирования ограниченного числа хостов,
то есть лицензии на 100 (MP-SRV-H100) и 200 (MP-SRV-H200) узлов.
1.3.2. MaxPatrol8 Scanner (MP-SCN)
В состав каждого MaxPatrol8 Server входит модуль MaxPatrol8 Scanner (сканирующее ядро),
который занимается собственно сканированием. Чтобы увеличить производительность и/или
учесть топологию сети при сканировании, к MaxPatrol8 Server могут быть добавлены
дополнительные сканеры (MaxPatrol8 Scanner).
MaxPatrol8 Scanner может поставляться в вариантах:
PenTest (MP-SCN-P);
PenTest & Audit (MP-SCN-PA);
PenTest & Audit & Compliance (MP-SCN-PAC).
Компонент MaxPatrol8 Scanner не может использоваться самостоятельно, он обязательно
должен быть подключен к MaxPatrol8 Server.
7Введение
1.3.3. Сервер консолидации (MaxPatrol8 Consolidation
Server, MP-CS)
Сервер консолидации (MaxPatrol8 Consolidation Server) аккумулирует информацию
нескольких серверов MaxPatrol8 Server. С его помощью можно строить консолидированные
отчеты. Для хранения информации используется внутренняя база данных или корпоративная
СУБД (Microsoft SQL). Для передачи отчетов от MaxPatrol8 Server к MaxPatrol8 Consolidation
Server связь можно устанавливать периодически. Результаты сканирования можно передавать
в офлайн-режиме.
Лицензия сервера консолидации может совмещаться с MP-SRV. Компоненты, которые будут
работать с Сервером консолидации, должны иметь в коде дополнительный суффикс –CS.
1.3.4. Локальный сервер обновлений (MaxPatrol8 Local
Update Server, MaxPatrol8–LUS)
Локальный сервер обновлений используется для поддержания в актуальном состоянии базы
знаний об уязвимостях и исполняемых модулей компонентов системы и для активации
лицензии.
По умолчанию компоненты системы MaxPatrol8 получают обновления с глобальных серверов
обновлений компании Positive Technologies, расположенных в сети Интернет. При
использовании локального сервера обновлений можно загружать новые версии компонентов
MaxPatrol8 из Интернета только на этот сервер. Благодаря MaxPatrol8-LUS, обновления
становятся доступными для других компонентов системы MaxPatrol8 .
1.3.5. Консоль управления (MaxPatrol8 Console)
Консоль управления (MaxPatrol8 Console, MP-CON) — это графический интерфейс
администраторов, операторов и пользователей системы. С ее помощью выполняются все
действия в системе MaxPatrol8. На всех компонентах системы собственные базы данных
учетных записей пользователей.
1.3.6. Мобильный комплекс MaxPatrol8 Mobile Center
Компонент MaxPatrol8 Mobile Server (MP-M) — это версия MaxPatrol8 MaxPatrol8 Server,
оптимизированная для работы на мобильных компьютерах. Мобильный сервер поддерживает
функцию удаленного управления с помощью MaxPatrol8 Console и выгрузки данных в
MaxPatrol8 Consolodation Server. MaxPatrol8 Mobile Server может поставляться в вариантах:
PenTest (MP-M-P);
PenTest & Audit (MP-M-PA);
PenTest & Audit & Compliance (MP-M-PAC).
8Введение
Мобильный сервер имеет следующие особенности:
имеет лицензию только для использования на мобильных компьютерах;
имеет встроенную поддержку консолидации данных;
хранит данные только во встроенной СУБД;
не имеет возможности подключения внешних сканеров.
MaxPatrol8 Mobile Server используется для того, чтобы:
проводить тесты на проникновение и аудит внешними консультантами;
анализировать защищенность небольших офисов.
1.3.7. Offline-сканер
Компонент Offline-сканер предназначен для сканирования узлов, изолированных от локальной
сети. С его помощью можно сканировать только системы Windows в любом режиме. При этом
обработка результатов осуществляется только на том сервере MaxPatrol8, где был создан
образ Offline-сканера. Для этого нужно подключиться к серверу, лицензия которого позволяет
генерировать образы Offline-сканера. Компонент работает на флеш-носителе Guardant.
1.3.8. Взаимодействие компонентов
Перечисленные компоненты могут быть использованы в различном сочетании в зависимости
от задач, условий и т. д. Пример развертывания системы MaxPatrol8 показан на рисунке ниже.
9Введение
Серверы
Scanner
Server
Рабочие
станции
Сетевое
оборудование
Server
Серверы
Рабочие
станции
Scanners
ДМЗ LUS
Mobile Server
Узлы
ДМЗ
Головной офис
MP
MP
MP
MP MP
MP
MP
Филиал
Console
MP
Consolidation
Server
Рисунок2. Пример развертывания системы MaxPatrol8
Компоненты MaxPatrol8 используют сеть для синхронизации и репликации данных,
удаленного управления и других задач. По умолчанию система использует порт 2002/TCP для
взаимодействия компонентов.
При взаимодействии компонентов системы MaxPatrol8 инициатором соединения может быть
любой из них. Кроме того, существует возможность «слушать» на нескольких портах.
Между компонентами системы может находиться межсетевой экран с включенным NAT. При
этом дополнительно никакие настройки делать не нужно.
В случае если между компонентами системы присутствует межсетевой экран, работающий в
режиме сервера-посредника (proxy), то в настройках соединения необходимо указать тип
протокола, а также учетную запись и пароль (если требуется). При подключении сервер
MaxPatrol8 автоматически определяет доступные методы аутентификации (Basic, NTLM,
Digest) и использует наиболее безопасный из них.
Система поддерживает следующие типы посредников:
посредник прикладного уровня для HTTP (используется метод Connect);
посредник сеансового уровня Socks (поддерживаются версии 4 и 5).
10Введение
В качестве иллюстрации к сказанному на рисунке ниже приведено диалоговое окно настройки
параметров взаимодействия компонентов MaxPatrol8.
Рисунок3. Настройка параметров взаимодействия компонентов
1.4. Схема лицензирования
Для работы с системой MaxPatrol8 требуется действующая лицензия, которую необходимо
активировать. Система MaxPatrol8 лицензируется по следующим параметрам:
тип компонента (например, MaxPatrol8 Server);
вариант поставки компонента (например, MaxPatrol8 Server с модулем PenTest и с
возможностью хранения результатов во внешней БД);
количество компонентов;
срок действия.
Лицензия поставляется вместе с дистрибутивом. Поставляемая в дистрибутиве лицензия
является «свободной», т.е. не привязана к конкретному компьютеру. Свободная лицензия
позволяет запускать и конфигурировать серверные компоненты. Для использования основных
функций компонентов MaxPatrol8 (сканирование, просмотр результатов, выпуск отчетов)
необходимо активировать лицензию. При активации лицензия будет привязана к параметрам
компьютера.
После активации лицензии ее нельзя перенести на другой компьютер. Кроме того, если
ключевые аппаратные характеристики компьютера изменятся, то лицензия может стать
недействительной. В этом случае необходимо связаться с производителем для получения
11Введение
дополнительной информации по обновлению лицензии. Ключевые аппаратные характеристики
компьютера не изменятся при добавлении жесткого диска на сервер с развернутыми
компонентами MaxPatrol8, при обновлении ОС в рамках одной мажорной версии.
Активация лицензии как онлайн-путем подключения к глобальному серверу обновлений (по
умолчанию используется 2002 порт, кроме 2002 порта можно использовать 443) или к
локальному серверу обновлений, так и офлайн-путем обращения по телефону к службе
технической поддержки.
Для установки компонентов MaxPatrol8 на виртуальное оборудование необходимо
использовать USB-ключ для защиты лицензии. Т.е. физическое оборудование гипервизора
должно иметь достаточное количество USB-портов, а функциональность гипервизора должна
обеспечивать подключение USB-устройств к гостевой операционной системе. Если эти
условия не выполняются, необходимо использовать решения класса USB-over-Network,
например, Digi AnywhereUSB.
Примечание. В MaxPatrol8 с номером сборки до 27832 используется USB-ключ еToken, c
номером сборки 27832 и выше — USB-ключ Rutoken.
Работа с USB-ключом на виртуальном сервере будет недоступна при подключении к серверу
по протоколу Remote Desktop Protocol. Это означает, что компоненты MaxPatrol8, которые
установлены на сервере, будут неработоспособны. Для обслуживания такого сервера без
остановки работы компонентов MaxPatrol8 необходимо подключаться к нему или через
консоль гипервизора, или с использованием сторонних средств удаленного
администрирования.
1.5. Практическая работа 1. Установка системы
MaxPatrol8
Чтобы установить MaxPatrol8 Server:
1. Включите виртуальные машины MaxPatrol8 Server и MaxPatrol8 Scanner.
2. Перейдите в виртуальную машину MaxPatrol8 Server и войдите в систему
(пользователь: administrator, пароль: 1111).
3. Проверьте наличие доступа к интернету (это потребуется для активации).
4. Уточните у преподавателя местоположение дистрибутива MaxPatrol8 Server (обычно в
папке Загрузки или на рабочем столе).
5. Начните процедуру установки.
6. Нажмите кнопку Далее.
12Введение
Рисунок4. Установка MaxPatrol8 Server
7. В окне Лицензионное Соглашение выберите вариант Я принимаю условия
соглашения.
Рисунок5. Установка MaxPatrol8 Server
8. В окне Выбор каталога установки выберите каталог установки.
9. Нажмите кнопку Далее.
13Введение
Рисунок6. Установка MaxPatrol8 Server
10. В раскрывающемся списке Выбор типа установки выберите тип Полная установка.
11. Нажмите кнопку Далее.
Рисунок7. Выбор режима установки
12. На шаге Настройка сервера можно изменить адрес сервера обновления на
update1.maxpatrol.com и порт на 443. Нажмите Далее.
14Введение
Рисунок8. Установка MaxPatrol8 Server
13. В окне Данные сертификата заполните поля Название организации и Имя
сертификата.
14. Нажмите кнопку ОК.
15Введение
Рисунок9. Установка MaxPatrol8 Server
Примечание. Сертификат используется для аутентификации на уровне компонентов
системы. В данном случае создается самоподписанный сертификат, но можно
использовать сертификаты, созданные в PKI. Сертификаты можно заменить в любой
момент.
15. В следующем окне нажмите кнопку ОК (при необходимости сохраните хэш сертификата
в текстовом файле)
Рисунок10. Установка MaxPatrol8 Server
16. Задайте пароль администратора MaxPatrol8.
17. Нажмите кнопку Далее.
16Введение
Рисунок11. Установка MaxPatrol8 Server
18. В окне Выбор типа БД выберите вариант Встроенная (SQLExpress).
19. Нажмите кнопку Далее.
Рисунок12. Установка MaxPatrol8 Server
20. Нажмите кнопку Далее.
17Введение
Рисунок13. Установка MaxPatrol8 Server
21. Проверьте правильность выбора параметров установки.
22. Нажмите кнопку Установить.
Рисунок14. Установка MaxPatrol8 Server
23. Дождитесь окончания установки и войдите в систему, используя учетную запись
Administrator.
18Введение
Рисунок15. Установка MaxPatrol8 Server
Примечание. По окончании установки окно инсталлятора закроется автоматически, но
в фоновом режиме продолжится создание объектов в БД, а также другие действия. Об
этом свидетельствует появление сообщения Сервер находится в процессе
обновления.
Рисунок16. Установка MaxPatrol8 Server
24. При появлении сообщения Сервер не имеет активных лицензий нажмите
Активировать.
19Введение
2. Выявление уязвимостей методом PenTest
В этом разделе
Способы выявления уязвимостей методом PenTest (см.раздел2.1)
Подбор учетных данных (см.раздел2.2)
Правила безопасного сканирования ИС при проведении сканирования в режиме PenTest
(см.раздел2.3)
Практическая работа 2. Сканирование в режиме PenTest (см.раздел2.4)
2.1. Способы выявления уязвимостей методом PenTest
В режиме PenTest система MaxPatrol8:
производит поиск узлов;
идентифицирует открытые порты, сетевые сервисы и приложения;
определяет версию операционной системы;
выявляет уязвимости.
В этом разделе
Поиск узлов (см.раздел2.1.1)
Сканирование портов (см.раздел2.1.2)
Идентификация операционных систем (см.раздел2.1.3)
Идентификация уязвимостей (см.раздел2.1.4)
2.1.1. Поиск узлов
Задача поиска сетевых устройств сводится к тому, чтобы заставить удаленную систему
отреагировать на какой-либо запрос. Под реакцией системы понимается генерация какого-
либо ответа или сообщения об ошибке. Это и будет доказательством того, что система
присутствует в сети.
Для идентификации узлов в MaxPatrol8 предусмотрено два метода:
1. ICMP ping;
2. ТСР ping.
Метод ICMP ping основан на использовании сообщений ICMP ECHO (Туре 8) и ECHO REPLY
(Туре 0). Это самый простой и распространенный способ определения доступности узла:
посылка сообщения ICMP ECHO (Туре 8). Если система доступна и отсутствует фильтрация
трафика данного типа, то в ответ придет сообщение ICMP ECHO REPLY.
20Выявление уязвимостей методом PenTest
Метод TCP-ping заключается в том, что сканер поочередно устанавливает соединение с
определенным перечнем портов, а потом происходит аварийное завершение соединения.
TCP-ping является наиболее достоверным методом обнаружения узлов в сети.
2.1.2. Сканирование портов
Если по результатам этапа идентификации сетевых объектов узел был сочтен доступным,
сканер переходит к следующему шагу — идентификации открытых портов. Эта задача
решается в два этапа:
1. Сканирование портов ТСР;
2. Сканирование портов UDP.
Для этого в сканер MaxPatrol8 встроено два метода сканирования портов:
tcp connect() scan — сканирование с установлением соединения;
UDP Scan — сканирование UDP-сервисов.
Для проверки статуса произвольного порта TCP на сканируемом узле используется
стандартная функция ОС — tcp connect(). При этом с портом на сканируемом узле
устанавливается полноценное TCP-соединение, которое сразу же аварийно разрывается.
После получения перечня открытых портов ТСР следует процедура определения открытых
UDP-портов.
Обычно сканирование портов UDP осуществляется следующим образом:
На требуемый UDP-порт сканируемой машины отправляется UDP-пакет (обычно пустой).
Если в ответ получено ICMP-сообщение «Destination Unreachable», это означает, что порт
закрыт.
С UDP-сканированием связаны следующие проблемы:
Возможная потеря UDP-пакетов. В этом случае ответ также не будет получен, и порту
может быть ошибочно присвоен статус «открыт».
Высокая степень вероятности фильтрации UDP- и/или ICMP-трафика. Результат тот же, что
и в предыдущем случае: порт может быть ошибочно сочтен открытым.
При сканировании UDP-портов MaxPatrol8 сканируется не весь диапазон портов UDP, а
только основные порты (например, 53, 161, 500 и т. п.) и при этом на заданный UDP-порт
посылается не пустой UDP-пакет, а «осмысленный» запрос соответствующей службе
(ожидаемой на данном порту). Это позволит сделать вывод о том, что порт открыт, на основе
получения ответа.
21Выявление уязвимостей методом PenTest
2.1.3. Идентификация операционных систем
Для идентификации ОС MaxPatrol8 проводит анализ набора открытых портов и сетевых
приложений, кроме того для идентификации ОС можно использовать сканер nmap, который
идентифицирует ОС с помощью TCP или IP Stack Fingerprinting и анализом пакетов ICMP.
Рисунок17. Идентификация операционных систем
2.1.4. Идентификация уязвимостей
В системе MaxPatrol8 использует два способа выявления уязвимостей:
1. Эксплоитные проверки.
2. Баннерные проверки.
Баннерные проверки — это идентификация уязвимостей в тестируемой системе с помощью
анализа версий сетевых приложений. Версию приложения можно определить, анализируя
приветствия (баннеры), выводимые службами при подключении на заданный порт. Часто
баннеры содержат информацию об используемой службе, вплоть до названия приложения и
номера версии, например:
telnet ftp.dmn1.ru 21;
220 ftp.dmn1.ru FTP server (Version wu-2.4(37) Mon Feb 15 16:48:38 MSK 1999) ready;
telnet smtp.dmn1.ru 25;
220 smtp.dmn1.ru ESMTP Sendmail 8.11.2/8.11.2; Thu, 21 Jun 2001 18:34:19 +0400.
Если баннер не содержит достаточно сведений для идентификации приложения, могут быть
выполнены команды, результат которых поможет сделать предположение о версии сервиса.
Перечень действий, которые выполняются сканером, может включать отправку немного
отличающихся от стандартов запросов, и использование редких (малоизвестных) команд или
опций.
22Выявление уязвимостей методом PenTest
Из сказанного видно, что идентификация приложений может быть выполнена самыми разными
способами. Причем используемые приемы могут быть основаны на собственном опыте
разработчиков сканеров, а, следовательно, быть уникальными. Окончательное решение
принимается на основе результатов перечисленных действий, а их совокупность называется
эвристикой. Разумеется, чем больше способов задействовано, тем больше времени сканер
будет тратить на определение приложений, но, с другой стороны, приложение будет
идентифицировано достовернее. Включить или отключить использование эвристических
методов можно в профиле сканирования.
Эксплоитные проверки выявляют наличие уязвимости в тестируемой системе путем
выполнения атаки, которая использует данную уязвимость, либо путем специальных запросов
в отношении системы, которые позволяют с высокой степенью вероятности утверждать, что
система уязвима.
Такой способ выявления уязвимостей потенциально опасен для тестируемой системы.
Баннерные проверки с меньшей вероятностью могут привести к нарушению
работоспособности сетевых сервисов.
2.2. Подбор учетных данных
С точки зрения сетевого сканера подбор пароля – это одна из проверок, выполняемых путем
явной атаки, т. е. тест (см. выше). Подбор пароля осуществляется дистанционно, т. е. по сети
путем подключения к соответствующей сетевой службе.
Процесс подбора паролей может осуществляться различными методами:
Атака по словарю (dictionary attack). Это наиболее быстрый способ, при котором
используются наиболее распространенные слова из словаря (текстового файла).
Гибридная атака (hybrid attack). В этом случае к словам из словаря добавляются
подстановки последовательностей букв или цифр (password1, password2), иногда буквы
слова из словаря заменяются цифрами или спецсимволами (micro$oft, 40in).
Атака последовательным перебором (bruteforce). Это наиболее надежный способ
получения паролей, поскольку он предполагает перебор всех вариантов. Теоретически
любой пароль может быть получен таким методом, но на практике для этого может
потребоваться значительное время. Однако часто это время меньше того, которое
установлено политикой безопасности для смены пароля. Кроме того, задача
восстановления пароля может быть распределена по нескольким узлам.
Оценка стойкости паролей может выполняться и на уровне узла (в режиме Audit), поскольку в
этом случае не составляет труда получить доступ к хранилищу хэшей паролей. Для сетевого
сканера эта задача превращается в попытки удаленного подбора паролей.
23Выявление уязвимостей методом PenTest
Порядок подбора паролей сканером MaxPatrol8
В ходе выполнения проверок по подбору пароля используется следующая
последовательность действий:
1. Обнаружение сетевой службы (для которой задействован подбор паролей);
2. Построение списка учетных записей;
3. Выбор механизма аутентификации (из числа поддерживаемых объектом сканирования);
4. Подбор пароля.
На первом этапе, в ходе идентификации сервисов и приложений, MaxPatrol8 обнаруживает
сетевую службу, для которой в профиле задействован подбор паролей. Затем строится список
учетных записей, для которых будет производиться подбор паролей. Этот список формируется
на основе встроенных данных, словарей логинов (если эта опция задействована) и ранее
обнаруженных логинов. Для сбора учетных записей пользователей могут использоваться
различные механизмы, такие как «нулевой сеанс» в ОС Windows.
На третьем шаге определяется поддерживаемый объектом сканирования механизм
аутентификации. Если поддерживается несколько методов, выбирается наиболее
эффективный с точки зрения подбора.
Далее следует непосредственно подбор пароля. Результаты проверок передаются между
модулями подбора для различных протоколов. Например, если при работе с NetBIOS был
получен список пользователей и подобран пароль пользователя user, эти данные будут
использованы в ходе подбора паролей к службе RDP данного сервера.
Для подбора пароля к СУБД и другим приложениям (SAP, Oracle, DB2 и т.д.) на все MaxPatrol8
Scanner нужно установить клиентский компонент. Это или коннектор, скачанный с сайта
support.ptsecurity.com, или клиент от производителя. При этом для Microsoft SQL не требуется
устанавливать клиентские компоненты.
2.3. Правила безопасного сканирования ИС при
проведении сканирования в режиме PenTest
При сканировании в режиме PenTest некоторые проверки могут вызвать затруднения в работе
ИС:
сканирование сетевых принтеров;
проверки на уязвимость к DOS-атакам;
подбор учетных записей;
сканирование веб-приложений;
сканирование специального программного обеспечения (СПО).
24Выявление уязвимостей методом PenTest
В этом разделе
Сканирование сетевых принтеров (см.раздел2.3.1)
Проверки на DoS-атаки (см.раздел2.3.2)
Подбор учетных записей (см.раздел2.3.3)
Сканирование веб-приложений (см.раздел2.3.4)
Сканирование СПО (см.раздел2.3.5)
2.3.1. Сканирование сетевых принтеров
При сканировании сетевые принтеры некоторых производителей могут интерпретировать
трафик, полученный от сканера, как команды, что может привести к нежелательным
последствиям, например, к печати большого количества страниц. Кроме того, в это время
принтеры не смогут обрабатывать задания пользователей, а напечатанные страницы окажутся
производственным браком. Чтобы этого избежать, необходимо выполнить инвентаризацию
информационных активов и сформировать задачи, исключив сетевые адреса принтеров.
Кроме того, в профиле есть опция Не производить сканирование сетевых принтеров:
Рисунок18. Выбор опции
Если опция включена, то перед сканированием портов будет запущен механизм
идентификации сетевых принтеров. Как только будет определено, что узел — это сетевой
принтер, дальнейшее сканирование производиться не будет.
Отдельно можно выполнить подбор учетных записей в отношении веб-интерфейса сетевых
принтеров, для этого в профиле в списке портов нужно указать порты 80 и 443, а также
настроить «Подбор учетных записей» для HTTP.
2.3.2. Проверки на DoS-атаки
С помощью MaxPatrol8 могут быть найдены уязвимости, использование которых приводит к
созданию ситуации отказа в обслуживании. При этом способ поиска таких уязвимостей
потенциально опасен для сканируемых систем: фактически MaxPatrol8 выполняет атаку и
проверяет затем доступность узла или сервиса. Для включения или отключения таких
проверок в профиле предусмотрены опции «Проверять на известные DoS-атаки» и
«Проверять на новые DoS-атаки (эвристический метод)».
25Выявление уязвимостей методом PenTest
Рисунок19. Выбор опции
При включении опции «Проверять на новые DoS-атаки», MaxPatrol8 будет подавать на вход
тестируемой службе различные значения (потенциально приводящие к выведению из строя
сканируемой службы). Если переданное сканером значение параметра привело к выведению
из строя сканируемой службы, проверка заканчивается положительным результатом.
Фактически, в данном случае MaxPatrol8 используется как «фаззер». В качестве примера
можно привести проверку на наличие уязвимости в приложении BusinessMail (ее номер в
каталоге CVE: CVE- 2005-2472). Эта уязвимость является следствием недостаточной
обработки параметров команд «HELO» и «MAIL FROM:» и приводит к возможности создания
ситуации «Отказ в обслуживании». Хотя MaxPatrol8 может находить данную уязвимость с
помощью баннерной проверки, если включить опцию «Проверять на новые DoS-атаки», данная
уязвимость будет найдена путем явной атаки с выведением сервиса из строя.
Исходя из вышесказанного, если есть необходимость проводить проверки на устойчивость
узлов к DOS-атакам, правильным решением будет использовать в качестве целей для
сканирования тестовую зону.
2.3.3. Подбор учетных записей
Группа проверок «Подбор учетных записей» также может быть опасна для тестируемых
систем, так как подбор осуществляется интерактивно, по сети путем подключения к
соответствующей сетевой службе и отправке ей различных учетных данных.
Этот тип проверок опасен по следующим причинам:
создание нагрузки на сеть;
возможность блокировки учетных записей пользователей.
Поэтому в MaxPatrol8 подбор учетных записей ограничивается именами и паролями по
умолчанию (наиболее распространенными комбинациями) и подбором по словарям.
2.3.4. Сканирование веб-приложений
Объектом анализа защищенности могут быть распределенные системы, в частности, веб-
приложения.
С помощью MaxPatrol8 могут быть выявлены как хорошо известные уязвимости веб-
приложений, соответствующие типу и версии сервера или установленных расширений, так и
уязвимости, связанные с содержимым (контентом). При проверке содержимого сканер,
начиная со стартовой страницы, переходит по ссылкам, вводит различные символы в поля
ввода, нажимает на кнопки. Это может привести к нежелательным последствиям, например,
отправке почтовых и других оповещений в больших количествах, выполнению потенциально
опасных операций, например, erase flash на сетевом оборудовании Cisco, заполнению таблиц в
26Выявление уязвимостей методом PenTest
базах данных ненужными значениями. Следовательно, опция «Искать уязвимости в веб-
приложениях» должна быть включена только, если действительно есть необходимость
выполнить проверку контента. Дополнительно можно использовать «Черный список» для
объектов, которые будут проигнорированы при сканировании.
Рисунок20. Выявление уязвимостей веб-приложений
27Выявление уязвимостей методом PenTest
2.3.5. Сканирование СПО
В режиме PenTest сканер MaxPatrol8 выполняет поиск уязвимостей на всех портах, которые
указаны в профиле. При этом, как было сказано выше, осуществляется идентификация
сервисов и приложений, в том числе путем выполнения команд известных протоколов. Если
эти порты задействованы для работы СПО, такие команды могут вызвать неожиданную
реакцию приложения, вплоть до его завершения. Для того чтобы избежать подобных
последствий, необходимо внимательно отнестись к формированию списка портов для
сканирования. При необходимости проверки СПО рекомендуется выносить тестируемые узлы
в тестовую зону.
2.4. Практическая работа 2. Сканирование в режиме
PenTest
В этом разделе
Часть 1. HostDiscovery (см.раздел2.4.1)
Часть 2. PenTest. Идентификация сервисов (см.раздел2.4.2)
Часть 3. PenTest. Поиск уязвимостей (см.раздел2.4.3)
Часть 4. PenTest. Подбор учетной записи (см.раздел2.4.4)
Примечание (см.раздел2.4.5)
2.4.1. Часть 1. HostDiscovery
1. Перейдите в виртуальную машину MaxPatrol8.
2. Запустите консоль управления (если она не была запущена ранее).
3. Откройте вкладку Сканирования.
4. В нижней части окна откройте вкладку Задачи.
Рисунок21. Вкладка Задачи
28Выявление уязвимостей методом PenTest
5. Нажмите кнопку (Добавить задачу).
6. Укажите название задачи PenTest Service Discovery.
7. В поле Узлы выберите профиль (PenTest) Service Discovery, укажите диапазон адресов
172.16.8.0/24 и нажмите кнопку ОК.
Рисунок22. Выставление параметров задачи
8. Находясь во вкладке Задачи, выберите правой клавишей мыши созданную на предыдущем
шаге задачу и в контекстном меню выберите Режим Host Discovery.
29Выявление уязвимостей методом PenTest
Рисунок23. Выбор режима Host Discovery
9. В появившемся диалоговом окне выберите ICMP ping, TCP ping, Определение имен и
Определение операционной системы и нажмите кнопку ОК.
Рисунок24. Выбор опций
10. При этом задача должна появиться в списке в верхней части окна (в области Активные
сканы).
30Выявление уязвимостей методом PenTest
Рисунок25. Отображение задачи
11. Дождитесь окончания сканирования (задача должна исчезнуть из списка Активные
сканы). Длительность сканирования зависит от количества узлов и обычно составляет 1-2
минуты.
12. Перейти к вкладке История.
Рисунок26. Вкладка История
13. В панели Сканы выберите строку, соответствующую проведенному сканированию и
выполните на ней щелчок правой клавишей мыши.
14. В открывшемся меню выберите пункт Документ сканирования.
15. Просмотрите результаты сканирования, выберите один из найденных узлов; просмотрите
параметры в области справа.
Рисунок27. Найденные узлы
Таким образом, с помощью Host Discovery Вы определяете доступность узлов, сетевое имя и
операционную систему. Эти хосты можно поделить на группы по типу ОС. А также можно
поделить хосты на группы по ИС, по зонам ответственности администраторов.
31Выявление уязвимостей методом PenTest
2.4.2. Часть 2. PenTest. Идентификация сервисов
1. Для идентификации сервисов перейдите во вкладку Сканирование и запустите задачу,
созданную в предыдущей части «PenTest Service Discovery». Сканирование будет длиться
примерно 15 минут.
2. Посмотрите документ сканирования.
Рисунок28. Информация о документе сканирования
3. Найдите все узлы с веб-приложениями. Для этого выпустите отчет, который будет
содержать список узлов с открытыми 80 и 443 портами. А далее, используя браузер,
определите, какое веб-приложение используется на узле – это может быть консоль
администрирования сетевого оборудования, корпоративный портал и т.д. К консоли
администрирования сетевого оборудования рекомендуется осуществить подбор учетных
записей.
4. Перейдите во вкладку Отчеты и нажмите кнопку (Добавить отчет).
5. Укажите: Любое название, например, «PenTest Service Discovery Web Application»; Тип
отчета — Информация; Исходные данные — По скану; Типы данных — PenTest; в поле
«Выбор задачи и скана» выберите нашу задачу и последний скан; в поле «Содержание
отчета» — Проверенные узлы и Все службы/ПО.
32Выявление уязвимостей методом PenTest
Рисунок29. Выбор опций
6. Во вкладке Фильтр портов выберите Включить и добавьте порты 80/tcp и 443/tcp.
Рисунок30. Добавление портов
7. Нажмите Сохранить.
8. Для выпуска отчета дважды щелкните левой кнопкой мыши на название.
Рисунок31. Выпуск отчета
9. Для просмотра отчета нажмите Открыть отчет.
33Выявление уязвимостей методом PenTest
Рисунок32. Меню PenTest Service Discovery Web Application
10. Полистав отчет, можно найти список узлов со списком приложений на 80 и 443 портах.
Рисунок33. Список узлов
34Выявление уязвимостей методом PenTest
11. Мы получили список адресов с веб-приложениями. Зайдите с помощью браузера на узел
172.16.8.11.
Рисунок34. Страница с http-basic аутентификацией
12. Подбор учетной записи мы произведем в 4 части этой практической работы.
2.4.3. Часть 3. PenTest. Поиск уязвимостей
1. Произведем поиск уязвимостей. Для этого перейдите во вкладку Сканирование и
создайте задачу на основе имеющейся . Измените название задачи и профиль на
«(Pentest) Safe Scan».
35Выявление уязвимостей методом PenTest
Рисунок35. Изменение параметров задачи
2. Запустите созданную задачу. Сканирование будет длиться примерно 15 минут.
3. Откройте документ сканирования.
36Выявление уязвимостей методом PenTest
Рисунок36. Информация о документе сканирования
4. Уязвимости со знаком вопроса — это баннерные уязвимости, а остальные уязвимости —
эксплоитные.
2.4.4. Часть 4. PenTest. Подбор учетной записи
1. Перейдите в MaxPatrol8 во вкладку Сканирование→ Профили.
2. Скопируйте профиль «(Pentest) Bruteforce» по кнопке .
3. Измените название, например, на «(Pentest) Bruteforce Web».
4. Раскройте Настройки сканирования в режиме PenTest и выберите Сканер портов.
37Выявление уязвимостей методом PenTest
Рисунок37. Сканер портов
5. В блоке Порты для сканирования оставьте только порт 80/tcp. Для этого нажмите на «…».
Рисунок38. Порты для сканирования
6. Удалите все порты, кроме 80/tcp (строки можно объединять, удерживая shift для выделения
нескольких строк подряд и ctrl для добавления одной строки).
38Выявление уязвимостей методом PenTest
Рисунок39. Порт 80/tcp
7. Нажмите кнопку ОК.
8. Выберите Сканер UDP-сервисов и отключите Сканировать UDP-порты.
9. Нажмите кнопку ОК для сохранения профиля.
10. Перейдите в Задачи.
11. Добавьте новую задачу со следующими параметрами и нажмите кнопку ОК.
Рисунок40. Добавление новой задачи
39Выявление уязвимостей методом PenTest
12. Запустите задачу.
13. По завершении откройте документ сканирования, раскройте 172.16.8.11→ 80/tcp→ HTTP
и выберите Нарушение прав доступа.
Рисунок41. Нарушение прав доступа
14. Проверьте полученную учетную запись.
2.4.5. Примечание
Чтобы переопределить список портов:
1. Скопируйте профиль «(Pentest) Fast Scan».
2. Раскройте Настройки сканирования в режиме PenTest.
3. Выберите пункт Сканер портов.
40Выявление уязвимостей методом PenTest
Рисунок42. Сканер портов
4. Для правки портов нажмите на «…».
Рисунок43. Правка портов
В этом диалоговом окне можно добавить, удалить порты, а также список портов можно
сохранить в файл и загрузить из файла.
41Выявление уязвимостей методом PenTest
5. Добавьте порт 2121/tcp.
Рисунок44. Добавление порта 2121/tcp
6. Нажмите Добавить→ ОК.
7. Переименуйте профиль, например, на «(Pentest) Fast scan add port» и для сохранения
профиля нажмите кнопку ОК.
8. Для сравнения профилей удерживая кнопку Ctrl выделите два профиля и нажмите
кнопку Сравнить.
42Выявление уязвимостей методом PenTest
Рисунок45. Сравнение профилей
43Выявление уязвимостей методом PenTest
3. Выявление уязвимостей методом Audit
Режим Audit позволяет выполнять проверки посредством удаленного доступа к объектам
сканирования. Доступ осуществляется с использованием, так называемых сетевых
транспортов и учетных данных.
Под транспортом понимается протокол, позволяющий получить удаленный доступ к объектам
исследуемой системы, например, NetBIOS, SSH, WMI и т.д. Различные транспорты применимы
к различным типам систем. Один и тот же тип систем может быть просканирован с
использованием различных транспортов. В этом случае выбор транспорта обуславливается
его возможностями, скоростью работы, объемом и видом сетевого трафика. Влияние на выбор
транспорта могут оказывать и дополнительные характеристики, такие как распространенность
транспорта и его защищенность.
Таблица2. Транспорты и системы
Транспорт Системы Возможно-
сти
Скорость Нагрузка Защищен-
ность
WMI Windows
2000 и выше,
SAP AS
ABAP
Максималь-
ные
Низкая Высокая Зависит от
параметров
сканирова-
ния
RPC Windows Минималь-
ные
Высокая Низкая Зависит от
параметров
сканирова-
ния
LDAP Active
Directory
Минималь-
ные
Высокая Высокая Зависит от
параметров
сканирова-
ния
SSH Unix,
Linux,Cisco,
Check Point
SPLAT, SAP
AS ABAP
Максималь-
ные
Высокая Низкая Высокая
Telnet Unix,
Linux,Cisco,
Check Point
SPLAT, SAP
AS ABAP
Максималь-
ные
Высокая Высокая Низкая
Oracle Oracle
Database,
SAP AS
ABAP
Максималь-
ные
Высокая Зависит от
параметров
сканирова-
ния
Зависит от
параметров
сканирова-
ния
44Выявление уязвимостей методом Audit
Транспорт Системы Возможно-
сти
Скорость Нагрузка Защищен-
ность
MySQL Oracle
MySQL
Максималь-
ные
Высокая Низкая Высокая
MS SQL Microsoft
SQL Server
Максималь-
ные
Высокая Низкая Высокая
SAP DIAG SAP AS
ABAP
Зависят от
параметров
сканирова-
ния
Низкая Низкая Зависит от
параметров
сканирова-
ния
SAP HANA SAP HANA Максималь-
ные
Высокая Низкая Зависит от
параметров
сканирова-
ния
SAP RFC SAP AS
ABAP
Зависят от
параметров
сканирова-
ния
Высокая Зависит от
параметров
сканирова-
ния
Зависит от
параметров
сканирова-
ния
Sybase SAP AS
ABAP
Максималь-
ные
Высокая Зависит от
параметров
сканирова-
ния
Зависит от
параметров
сканирова-
ния
PostgreSQL PostgreSQL Максималь-
ные
Высокая Низкая Высокая
Tibero Tibero
Database
Максималь-
ные
Высокая Низкая Высокая
Remote
Engine
Windows
2000 и выше
Максималь-
ные
Высокая Высокая Зависит от
параметров
сканирова-
ния
vSphere API VMware
ESXi, vCenter
Зависят от
параметров
сканирова-
ния
Высокая Низкая Высокая
Получив доступ, сканер контролирует наличие обновлений, проверяет содержимое
конфигурационных файлов и различные параметры системы. В Руководстве администратора
приведен список привилегий для различных систем. Соответственно мы можем в системе
создать учетную запись как с максимальными привилегиями, так и ограниченными. На сайте
support.ptsecurity.com можно скачать скрипты для создания учетных записей с ограниченными
привилегиями.
45Выявление уязвимостей методом Audit
Далее рассмотрим аудит ряда систем.
В этом разделе
Аудит Windows (см.раздел3.1)
Аудит Unix (см.раздел3.2)
Аудит Сisco (см.раздел3.3)
Аудит СУБД (см.раздел3.4)
Проверка транспортов (см.раздел3.5)
Практическая работа 3. Сканирование в режиме Audit (см.раздел3.6)
3.1. Аудит Windows
При Audit Windows система MaxPatrol8 выполняет следующие проверки:
контроль обновлений ОС Windows;
инвентаризация установленного программного обеспечения;
анализ настроек системы и приложений;
проверка учетных записей или групп;
подбор учетных записей.
Для подключения к Windows системам используется следующая настройка транспортов.
46Выявление уязвимостей методом Audit
Рисунок46. Транспорты MaxPatrol8
Например, включение опции «Использовать WMI» позволяет получить с помощью Windows
Management Instrumentation (WMI) доступ к пространствам имен WMI. В частности, система
MaxPatrol8 использует следующие пространства имен:
root\cimv2;
root\wmi;
root\MicrosoftExchangeV2;
root\MicrosoftIISv2;
root\rsop\computer.
Опция «Использовать реестр через RPC» используется для получения доступа к реестру
сканируемого узла через сервис «Remote registry». Фактически это аналогично подключению к
реестру удаленного узла с помощью редактора реестра.
47Выявление уязвимостей методом Audit
Рисунок47. Подключение к реестру удаленного узла с помощью редактора реестра
Доступ к реестру регламентируется путем редактирования списка контроля доступа раздела
реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winreg.
Опция «Использовать реестр через WMI» позволяет получить доступ к реестру с помощью
возможностей WMI.
Возможность «Использовать файловые проверки через RPC» основана на подключении к
административным общим ресурсам (C$, ADMIN$ и т. д.). При этом сканер получает доступ к
файловой системе и может контролировать наличие необходимых обновлений, а также
производить инвентаризацию установленного программного обеспечения.
Рисунок48. Административные общие ресурсы
Опция «Использовать файловые проверки через WMI» предполагает получение доступа к
файловой системе средствами WMI.
Проверку подключения по WMI можно произвести с помощью утилиты wbemtest.
48Выявление уязвимостей методом Audit
Рисунок49. Подключение по WMI
Учетная запись, используемая в ходе аудита, задается в параметрах профиля (см. рисунок
ниже).
Рисунок50. Учетная запись
3.2. Аудит Unix
Для подключения к UNIX-системам в ходе сканирования используется один из следующих
транспортов:
Telnet;
SSH.
49Выявление уязвимостей методом Audit
Если заданы оба транспорта, то предпочтительным во время сканирования является
транспорт SSH, как наиболее защищенный.
А также задается тип операционной системы:
Unix — выбирается при проверке любой UNIX-подобной системы (Solaris, Linux, xBSD и т. п.);
Cisco — выбирается при сканировании сетевых устройств Cisco;
Checkpoint — указывает на операционную систему Check Point SecurePlatform —
преднастроенный Linux-дистрибутив (основанный на ядре от компании Red Hat Software),
используемый для развертывания межсетевого экрана CheckPoint;
Автоопределение — при выборе данного положения переключателя MaxPatrol8
попытается сам определить тип ОС.
Рисунок51. Отображение параметров аудита
В некоторых случаях удаленное подключение посредством Telnet или SSH с использованием
учетной записи root невозможно. В такой ситуации для подключения следует использовать
одну учетную запись, а для выполнения проверок — другую. Для настройки этого механизма
используется область «Метод повышения привилегий».
50Выявление уязвимостей методом Audit
Рисунок52. Настройка метода повышения привилегий
В области «Учетная запись» задаются параметры учетной записи, используемой для
выполнения локальных проверок, при этом необходимо указать команду локальной
авторизации. Для UNIX-систем обычно используется команда su, соответственно,
переключатель Команда локальной авторизации находится в положении «su». То есть
сканер при подключении к объекту сканирования выполняет такие же действия, как например,
на рисунке ниже. Здесь проиллюстрирован вход с использованием учетной записи iss с низким
уровнем привилегий, а затем переключение на использование учетной записи root.
Рисунок53. Вход с использованием учетной записи iss с низким уровнем привилегий
Часто для того, чтобы сохранить окружение пользователя, команду su используют со знаком
«-», для этого предусмотрено соответствующее положение переключателя Команда
локальной авторизации, как это показано на рисунке.
51Выявление уязвимостей методом Audit
3.3. Аудит Сisco
Для полнофункционального анализа сетевых устройств Cisco учетная запись, используемая
MaxPatrol8 должна обладать достаточными привилегиями. Пользователь, от имени которого
производится сканирование, должен иметь привилегии level 15. Однако при необходимости
можно ограничить список команд, используемых MaxPatrol8 минимально необходимым
набором.
Таблица3. Список используемых механизмов и привилегий с привязкой к транспортам MaxPatrol8
Компонент ОС Транспорт Команды Проверки Привилегии
Monitoring SSH или Telnet show * Настройки си-
стемы
Инвентариза-
ция
Настройки без-
опасности
Execute
File System SSH или Telnet dir /recursive all-
filesystems
verify /md5
<файл для рас-
чета контроль-
ных сумм>
more /binary
<просмотр со-
держания
файла>
Инвентариза-
ция
Read & Execute
3.4. Аудит СУБД
Для полного анализа СУБД в режиме Audit необходимо использовать учетную запись для
подключения как к СУБД, так и к операционной системе узла, на котором установлена
проверяемая СУБД. В ходе сканирования используется доступ к различным системным
таблицам, представлениям (view), конфигурационным файлам СУБД и настройкам системы.
Для доступа к СУБД на всех MaxPatrol8 Scanner должен быть установлены клиентские
компоненты (ODBC драйвер). Это можно сделать, установив коннектор, скачанный с сайта
support.ptsecurity.com или клиент от производителя СУБД. При этом для Microsoft SQL не
требуется устанавливать клиентские компоненты.
52Выявление уязвимостей методом Audit
3.5. Проверка транспортов
Перед началом сканирования можно проверить правильность работы используемых
транспортов.
Рисунок54. Запуск тестирования транспортов
3.6. Практическая работа 3. Сканирование в режиме Audit
В этом разделе
Часть 1. Audit Windows (см.раздел3.6.1)
Часть 2. Audit Linux (см.раздел3.6.2)
Часть 3. Проверка транспортов (см.раздел3.6.3)
Часть 4. Audit Oracle (см.раздел3.6.4)
3.6.1. Часть 1. Audit Windows
1. Создайте учетную запись для аудита Windows. Для этого перейдите Сканирование→
Учетные записи и нажмите кнопку Добавить учетную запись .
2. Задайте: Название — любое, например, «Audit Windows»; Имя пользователя
administrator; Пароль — 1111; Подтверждение — 1111.
3. В блоке «Ограничение на использование учетной записи» выберите Разрешить только в
транспортах, снимите галочку Выделить все и выберите RPC и WMI.
53Выявление уязвимостей методом Audit
Рисунок55. Добавление учетной записи
4. Для сохранения учетной записи нажмите кнопку ОК.
5. Перейдите в Профили и нажмите кнопку Добавить профиль .
6. Задайте следующие параметры профиля: Название профиля→ Audit Windows; Режимы
сканирования→ Выполнять сканирование в режиме Audit;
54Выявление уязвимостей методом Audit
Рисунок56. Выбор режима сканирования
7. Учетные записи→ Режим Audit→ Microsoft Windows→ установите домен edu и
выберите созданную учетную запись;
Рисунок57. Установка домена edu
8. Настройка сканирования в режиме Audit→ отключите неиспользуемые транспорты.
55Выявление уязвимостей методом Audit
Рисунок58. Отключение транспортов
9. Для сохранения профиля нажмите кнопку ОК.
10. Перейдите в Задачи и создайте задачу со следующими параметрами: Название — «Audit
Windows»; Профиль — «Audit Windows»; Узлы — 172.16.8.51.
56Выявление уязвимостей методом Audit
Рисунок59. Добавление задачи
11. Нажмите кнопку ОК.
12. Для проверки транспортов нажмите правой кнопкой мыши на только что созданной задаче
и выберите Тестирование транспортов.
Рисунок60. Тестирование транспортов
13. В появившемся диалоговом окне нажмите кнопку ОК.
57Выявление уязвимостей методом Audit
Рисунок61. Тестирование транспортов
14. Откройте документ сканирования после того как отработает скан. Убедитесь, что все
транспорты «Без ошибок».
Рисунок62. Документ сканирования
15. Перейдите в Сканирование→ Задачи и запустите задачу. По окончании задачи
посмотрите Документ сканирования.
58Выявление уязвимостей методом Audit
Рисунок63. Документ сканирования
3.6.2. Часть 2. Audit Linux
1. В данной части мы будем использовать повышение привилегий. То есть мы создадим
учетную запись и будем использовать su. Перейдите на вкладку Сканирование→
Учетные записи и нажмите кнопку Добавить учетную запись .
2. Задайте: Название — любое, например, Audit Linux; Имя пользователя — user; Пароль
abc123; Подтверждение — abc123.
3. В блоке Ограничение на использование учетной записи выберите Разрешить только в
транспортах, снимите галочку Выделить все и выберите SSH.
59Выявление уязвимостей методом Audit
Рисунок64. Ограничение на использование учетной записи
4. Нажмите кнопку ОК, чтобы сохранить учетную запись.
5. Добавьте еще одну учетную запись для root: Название — любое, например, Audit Linux root;
Имя пользователя — root; Пароль — 111111; Подтверждение — 111111.
60Выявление уязвимостей методом Audit
Рисунок65. Добавление второй учетной записи
6. Перейдите во вкладку Профили и нажмите кнопку Добавить профиль .
7. Задайте следующие параметры профиля: Название профиля — Audit Linux; Режимы
сканирования — Выполнять сканирование в режиме Audit.
Рисунок66. Сканирование в режиме Audit
61Выявление уязвимостей методом Audit
8. Учетные записи→ режим Audit→ SSH/Telnet — выберите созданную учетную запись
Рисунок67. Выбор учетной записи
9. В блоке Метод повышения привилегий выберите Использовать локальную
аутентификацию и затем выберите учетную запись для повышения привилегий.
Рисунок68. Выбор локальной аутентификации
10. В блоке Команда локальной аутентификации выберите «su-».
11. Настройка сканирования в режиме Audit — отключите неиспользуемые транспорты
(остается только SSH).
62Выявление уязвимостей методом Audit
Рисунок69. Отключение неиспользуемых транспортов
12. Нажмите кнопку ОК, чтобы сохранить профиль.
13. Перейдите во вкладку Задачи и создайте задачу со следующими параметрами: Название
— Audit Linux; Профиль — Audit Linux; Узлы — 172.16.8.11.
63Выявление уязвимостей методом Audit
Рисунок70. Указание параметров задачи
14. Выполните проверку транспортов. Если транспорт SSH «Без ошибок», то запустите задачу.
По окончании задачи посмотрите Документ сканирования.
64Выявление уязвимостей методом Audit
Рисунок71. Документ сканирования
3.6.3. Часть 3. Проверка транспортов
1. Проверку транспорта WMI можно произвести с помощью утилиты wbemtest.exe (Windows
Management Instrumentation Tester).
65Выявление уязвимостей методом Audit
Рисунок72. Окно Windows Management Instrumentation Tester
2. Нажмите кнопку Connect и задайте Namespace — \\172.16.8.51\root\cimv2 и в группе
Credentials задайте User — Administrator и Password — 1111.
66Выявление уязвимостей методом Audit
Рисунок73. Настройки Connect
3. Нажмите кнопку Connect и при успешном подключении нажмите кнопку Query…
67Выявление уязвимостей методом Audit
Рисунок74. Окно Windows Management Instrumentation Tester
4. В окне Query введите следующий WQL запрос select * from win32_operatingsystem и
нажмите кнопку Apply.
Рисунок75. Окно Query
5. Выполнение запроса должно быть выполнено без ошибки.
68Выявление уязвимостей методом Audit
Рисунок76. Окно Query Result
6. Нажмите кнопку ОК.
7. Также можно выполнить запросы к различным классам WMI, в соответствии с главой
«Список проверяемых объектов для ОС Windows» — «WMI», например, select * from
Win32_Account.
8. Определить причину ошибки также можно и по журналу сканирования. В настройках
профиля по умолчанию задано Стандартное журналирование.
69Выявление уязвимостей методом Audit
Рисунок77. Настройки журналирования
9. Для того, чтобы посмотреть настройки Стандартного журналирования и создать
собственное, перейдите Сканирование→ Справочники.
10. Найдите системный справочник Стандартное журналирование.
70Выявление уязвимостей методом Audit
Рисунок78. Стандартное журналирование
11. Скопируйте справочник и все, кроме Forensic, переведите в Debug (для этого выделяйте
слева соответствующий пункт и нажимайте на кнопку D ).
Примечание. Доступны следующие уровни логирования (в порядке убывания): TRACE;
DEBUG; INFO; WARN; ERROR; FATAL.
71Выявление уязвимостей методом Audit
Рисунок79. Копирование справочника
12. Для сохранения справочника нажмите кнопку .
13. Поменяйте настройки журналирования в профиле Audit Windows.
Рисунок80. Настройки журналирования
72Выявление уязвимостей методом Audit
14. Выполните сканирование.
15. Для того чтобы открыть журнал, перейдите в Историю и откройте документ сканирования
для данной задачи.
Рисунок81. Выбор документа сканирования
16. Нажмите кнопку Журнал.
Рисунок82. Журнал
17. В появившемся окне нажмите кнопку Получить архив…
Рисунок83. Журнал сканирования
18. Сохраните архив и, распаковав его, вы сможете посмотреть журнал.
19. Другой способ получить журнал – это перейти в папку C:\Program Files\Positive
Technologies\MaxPatrol\server\Logs.
73Выявление уязвимостей методом Audit
3.6.4. Часть 4. Audit Oracle
1. В этой части мы будем создавать учетную запись с ограниченными правами для
проведения аудита СУБД Oracle.
2. Запустите SQL Developer.
3. Создайте новое подключение (username: sys, password: abcd1234) в соответствии с
представленным ниже рисунком, после ввода данных последовательно нажмите кнопки
Save, Connect (в результате должно произойти корректное подключение).
Рисунок84. Создание нового подключения
4. Откройте руководство администратора MaxPatrol8.
5. Найдите сценарий создания учетной записи для сканирования Oracle.
74Выявление уязвимостей методом Audit
Рисунок85. Сценарий создания учетной записи
6. Обратите внимание на заданные в верхней строке имя пользователя и пароль (при
необходимости смените).
7. Скопируйте сценарий для создания учетной записи в окно SQL Developer и выполните
сценарий (клавиша F5).
8. Убедитесь, что сценарий выполнен успешно.
Рисунок86. Сценарий
9. Установите коннектор для СУБД Oracle.
10. Перейдите в консоль MaxPatrol8.
11. Перейдите к вкладке Учетные записи и создайте новую учетную запись для аудита Oracle
(используйте логин и пароль из сценария).
75Выявление уязвимостей методом Audit
Рисунок87. Создание учетной записи для аудита Oracle
12. Перейдите к вкладке Профиль и создайте новый профиль (Название — любое, например,
Аудит Oracle).
13. Включите режим Audit;
Рисунок88. Режим Audit
14. Выберите учетную запись для подключения и укажите имя экземпляра;
76Выявление уязвимостей методом Audit
Рисунок89. Учетная запись и имя экземпляра
15. Включите транспорт Oracle.
Рисунок90. Транспорт Oracle
16. Сохраните профиль.
17. Перейдите к вкладке Задачи и создайте задачу со следующими параметрами: Название
Аудит Oracle; Профиль — Аудит Oracle; Узлы — 172.16.8.51.
18. Выполните проверку транспортов. Если транспорт Oracle «Без ошибок», то запустите
задачу. По окончании сканирования посмотрите «Документ сканирования».
77Выявление уязвимостей методом Audit
Рисунок91. Проверка транспортов
19. Далее мы выполним аудит СУБД Oracle, используя две учетные записи: ОС и СУБД. При
этом результат будет содержать уязвимости ОС, не связанные с СУБД. Чтобы результат
содержал только уязвимости, связанные с СУБД, мы будем использовать группы.
20. Перейдите к вкладке Конфигурация→ Группы.
78Выявление уязвимостей методом Audit
Рисунок92. Вкладка Группы
21. Смените вариант отображения правой части на Программное обеспечение.
Рисунок93. Программное обеспечение
22. В левой части создайте пользовательскую группу «Oracle».
Рисунок94. Создание пользовательской группы
23. Добавьте в группу ПО «Oracle Database».
79Выявление уязвимостей методом Audit
Рисунок95. Oracle Database
24. Перейдите в область Сканирование→ Справочники.
25. Создайте новый справочник типа Группы уязвимостей и включите группу Oracle.
Рисунок96. Включение группы Oracle
26. Перейдите к редактированию профиля Аудит Oracle.
27. Добавьте учетную запись для подключения к ОС и включите транспорты для аудита ОС
Windows.
28. Включите фильтр по программному обеспечению.
80Выявление уязвимостей методом Audit
Рисунок97. Фильтр по программному обеспечению
29. Сохраните профиль.
30. Повторите процедуру сканирования.
31. Посмотрите результат.
81Выявление уязвимостей методом Audit
Рисунок98. Результат сканирования
82Выявление уязвимостей методом Audit
4. Оценка соответствия требованиям стандартов
Система MaxPatrol8 позволяет осуществить проверки ИС на соответствие требованиям.
Фактически, результаты сканирования (результаты работы модулей PenTest и Audit)
«пропускаются» сквозь критерии контроля, так называемые контрольные списки. Для
выполнения оценки соответствия требований стандартов в профиле необходимо задать опцию
«Выполнять сканирование в режиме Compliance».
Рисунок99. Выбор режима сканирования
Фактически, данная опция включает проверки, выполняемые в режиме Audit и ряд проверок,
специфичных для режима Compliance.
По окончании сканирования результаты можно получить двумя способами:
1. использование истории сканирований;
2. использование соответствующего шаблона для генерации отчета.
В первом случае необходимо перейти к вкладке Compliance, выбрать в списке слева узел, а в
списке в средней части вкладки – контрольный список. После этого в правой части окна
появляется информация о соответствии.
83Оценка соответствия требованиям стандартов
Рисунок100. Применимые стандарты
Во втором случае необходимо перейти к вкладке Отчеты, выбрать шаблон, и при
формировании отчета указать задачу, скан и контрольный список.
Рисунок101. Формирование отчета
84Оценка соответствия требованиям стандартов
Проверки на соответствие определенному требованию могут заканчиваться со следующим
результатом:
Соответствует;
Не соответствует;
Неприменимо;
Не определено;
Не проверялось.
Статус «Соответствует» означает, что в ходе проверки выявилось полное соответствие
выбранному требованию. Например, показанный на рисунке ниже результат проверки
означает, что требование «Политика паролей: Максимальный срок действия пароля»
выполнено. Полученное в результате проверки текущее значение параметра — 42, а в
требовании указано 61.
Рисунок102. Соответствие требованиям
На рисунке ниже показан результат проверки, выявившей несоответствие системы
требованию «Политика паролей: Минимальная длина пароля». В ходе проверки было
установлено, что в системе вообще такое требование к паролю не предъявляется.
85Оценка соответствия требованиям стандартов
Рисунок103. Несоответствие требованиям
Статус «Неприменимо» указывает, что в данном конкретном случае соответствие требованию
нельзя проверить, например, по причине отсутствия проверяемого объекта. Например, на
следующем ниже рисунке показан результат проверки «Задать ограничение по времени для
отключенных сеансов». Требование гласит, что следует указать максимальный период
времени, в течение которого отключенный сеанс на сервере остается открытым, но в
проверяемой системе сервер терминалов вообще не установлен, а значит, применить
требование невозможно.
Следует подчеркнуть, что статус «Неприменимо» не означает, что применить требование
невозможно в принципе. При других обстоятельствах результат проверки мог бы быть иным,
например, если бы в рассматриваемом примере сервер терминалов был бы установлен.
86Оценка соответствия требованиям стандартов
Рисунок104. Невозможно применить требования
Статус «Не определено» означает, что нет явных признаков, позволяющих сказать точно,
выполняется или не выполняется проверяемое требование. Чаще всего это бывает, если явно
не задано значение какого-либо параметра. Например, на следующем рисунке видно, что
проверка соответствия требованию запрета создания аварийного дампа памяти окончилась
со статусом «Не определено» по причине отсутствия необходимого параметра в реестре.
Конечно, часто бывает, что в таких случаях работает так называемое «значение по
умолчанию», и требование фактически может быть выполнено, но такой вывод сканирующим
ядром делается не во всех случаях. Обычно статус «Не определено» предполагает
дополнительный анализ системы силами квалифицированного специалиста.
87Оценка соответствия требованиям стандартов
Рисунок105. Информация об отчете
Наконец, статус «Не проверялось» означает, что требование неприменимо в принципе.
Например, если оно явно не подходит для проверяемой системы, как на рисунке ниже
(проверялась ОС Windows XP, а требование для Sun Solaris).
88Оценка соответствия требованиям стандартов
Рисунок106. Требование, не подходящее для системы
В этом разделе
Настройка MaxPatrol8 согласно корпоративным требованиям (см.раздел4.1)
Практическая работа 4. Оценка соответствия требованиям стандартов (см.раздел4.2)
4.1. Настройка MaxPatrol8 согласно корпоративным
требованиям
Контрольные списки (стандарты), уже имеющиеся в системе MaxPatrol8, сформированы на
основе двух источников:
Center for Internet Security (cisecurity.org);
Опыт экспертов компании Positive Technologies.
Контрольные списки, сформированные специалистами Positive Technologies, имеют приставку
«PT-» в названии списка.
89Оценка соответствия требованиям стандартов
Любой контрольный список представляет собой перечень требований (см. рисунок ниже).
Список может иметь несколько версий, они называются ревизиями. В свою очередь, ревизии
привязаны к дате, и требования начинают действовать с указанной даты. Это позволяет гибко
менять наборы требований с течением времени.
Рисунок107. Перечень требований
В системе MaxPatrol8 предусмотрено три механизма адаптации стандартов под
корпоративные нужны:
1. Добавление или удаление требований;
2. Переопределение параметров требований;
3. Создание пользовательских проверок.
Первый механизм позволяет сформировать необходимый набор требований «с нуля» или
путем создания копии стандартного списка с последующим внесением изменений в него.
90Оценка соответствия требованиям стандартов
Рисунок108. Набор требований
Второй механизм позволяет выполнить более тонкую настройку параметров некоторых
требований. Для его использования необходимо:
Создать новое «переопределение»;
Внести необходимые изменения;
Включить в профиле сканирования использование созданного переопределения. Создание
переопределения осуществляется через вкладку «Переменные».
Переопределение требований выполняется путем:
Изменения параметров требований
Принудительного задания статуса проверки вне зависимости от результата сканирования
Изменение параметров можно осуществлять для отдельных требований. Например, на
рисунке ниже приведены параметры проверки 421715, указывающие, что при проверке статус
соответствия будет положительным, если на проверяемом узле минимальная длина пароля
будет больше 7. Это значение можно переопределить. При этом можно использовать
логические операции.
91Оценка соответствия требованиям стандартов
Рисунок109. Параметры требований
Опция «Переопределение статуса» позволяет вне зависимости от результата проверки
присвоить значение статуса требования в списке.
92Оценка соответствия требованиям стандартов
Рисунок110. Переопределение статуса
Создание пользовательских проверок осуществляется с помощью добавления
«универсальных проверок».
93Оценка соответствия требованиям стандартов
Рисунок111. Добавление универсальных проверок
С помощью универсальных проверок можно проверить:
Состояние службы;
Допуски к файлу;
Контрольную сумму файла;
Допуски к ключу реестра;
Наличие или отсутствие определенной строки в файле конфигурации;
Значение элемента реестра.
Настройка универсальных проверок осуществляется с помощью описанного выше механизма
переопределений.
4.2. Практическая работа 4. Оценка соответствия
требованиям стандартов
В этом разделе
Часть 1. Оценка соответствия стандартному списку (см.раздел4.2.1)
Часть 2. Контроль администраторов по белому списку (см.раздел4.2.2)
Часть 3. Контроль целостности для UNIX-систем (см.раздел4.2.3)
94Оценка соответствия требованиям стандартов
4.2.1. Часть 1. Оценка соответствия стандартному списку
1. Перейдите в Профили и нажмите кнопку Добавить профиль .
2. Задайте следующие параметры профиля (аналогично Части «Аудит Windows»
Практической работы 2):
Название профиля — Compliance Windows;
Режимы сканирования — Выполнять сканирование в режиме Compliance;
Учетные записирежим AuditMicrosoft Windows — установите домен edu и
выберите учетную запись Audit Windows;
Настройка сканирования в режиме Audit — отключите неиспользуемые транспорты.
Рисунок112. Настройка профиля сканирования
95Оценка соответствия требованиям стандартов
Рисунок113. Настройка сканирования
3. Нажмите кнопку ОК, чтобы сохранить профиль.
4. Перейдите в Задачи и создайте задачу со следующими параметрами:
Название — Compliance Windows;
Профиль — Compliance Window;
Узлы — 172.16.8.51
5. Нажмите кнопку ОК.
6. Запустите задачу. По окончании посмотрите «Документ сканирования».
Рисунок114. Документ сканирования
7. Посмотрите результаты сопоставления с каким-нибудь набором требований, например,
CIS — Microsoft Windows 2012 R2.
96Оценка соответствия требованиям стандартов
Рисунок115. Результаты сканирования
4.2.2. Часть 2. Контроль администраторов по белому
списку
1. Одной из важнейших задач любого предприятия является контроль соблюдения политик
доступа к рабочим станциям. Поскольку рабочая станция является точкой входа в сеть
предприятия, важно тщательно следить за соблюдением требований доступа. MaxPatrol8
успешно справляется с данной задачей, если правильно настроить процедуры контроля
административных разрешений на рабочих станциях: кто входит в группу администраторов
рабочих станций, какие привилегии доступа имеются у пользователей и так далее. В этой
практической работе мы выполним проверку, кто содержится в группе локальных
администраторов и нет ли там лишних пользователей. А также, какие пользователи во
время своей работы используют административную учетную запись, которая должна
использоваться в исключительных случаях. Для выполнения работы нам потребуется:
создать справочник учетных записей входящих в группу администраторов;
создать два стандарта;
провести сканирование с учетом созданных стандартов;
создать отчет с отображением соответствия стандартам.
2. Создайте справочник, содержащий список логинов, которым разрешены
административные права доступа к рабочим станциям. Для этого переключитесь на
вкладку Сканирования→ Справочники→ .
97Оценка соответствия требованиям стандартов
Рисунок116. Создание справочника
3. Заполните справочник следующим образом:
• название «Администраторы рабочих станций»
• тип «Текст»,
• добавьте в справочник следующие записи (поскольку рабочие станции могут иметь как
русскоязычную, так и англоязычную ОС):
Администратор
Administrator
edu\domain admins
Примечание. Учетную запись «edu\domain admins» следует добавить потому, что
сканируемая рабочая станция является членом домена и, значит, группа domain admins,
согласно политики домена, так же входит в группу локальных администраторов.
Рисунок117. Изменение параметров справочника
4. Нажмите кнопку ОК, чтобы сохранить справочник.
98Оценка соответствия требованиям стандартов
5. Создайте новый стандарт: Конфигурация Стандарты→ .
Рисунок118. Создание нового стандарта
6. Задайте ему название «Принадлежность пользователя к группе локальных
администраторов» и отметьте Применимость к операционным системам Microsoft
Windows.
99Оценка соответствия требованиям стандартов
Рисунок119. Выбор применимости к операционным системам
7. Нажмите кнопку ОК для сохранения стандарта.
8. Раскройте его, перейдите к ревизии и нажмите для добавления требований.
100Оценка соответствия требованиям стандартов
Рисунок120. Добавление требований
9. В репозитории требований раскройте ветку Microsoft Windows и выберите в списке
Контроль локальных администраторов, а затем двойным щелчком мыши добавьте
требование «421972 Учетные записи: Ограничьте членство в группе локальных
администраторов».
101Оценка соответствия требованиям стандартов
Рисунок121. Выбор требований
10. Нажмите кнопку ОК для сохранения изменений.
11. Создайте переопределение нашего требования во вкладке Конфигурация→
Переменные→ .
Рисунок122. Создание переопределения
12. В диалоговом окне Добавление переопределения задайте следующее:
Название – любое, например, «Принадлежность пользователя к группе локальных
администраторов»
В поле Стандарт выберите созданный нами ранее стандарт,
102Оценка соответствия требованиям стандартов
В поле Параметры требований выберите «421972 Учетные записи: ограничьте членство в
группе локальных администраторов»
В поле Программное обеспечение — «Microsoft Windows»,
Переопределим значение параметра «Users and Groups whitelist». Для этого отметьте
флажок Переопределить переменную, переключите переменную на Использовать
справочник и в списке справочников выберите наш справочник с учетными записями
администраторов — Администраторы рабочих станций. После выполнения настроек
сохраните переопределение.
Рисунок123. Переопределение параметров
13. Нажмите кнопку Сохранить.
14. Чтобы создать профиль, с помощью которого мы будем проводить сканирование на
предмет соответствия нашим стандартам, откройте вкладку Сканирование Профили.
15. Скопируйте профиль Compliance Windows и задайте профилю название, например
«Принадлежность пользователя к группе локальных администраторов».
16. В ветке Настройки сканирования в режиме Compliance из выпадающего списка
Переопределения требований Compliance выберите созданное нами переопределение
«Принадлежность пользователя к группе локальных администраторов» и затем сохраните
профиль.
103Оценка соответствия требованиям стандартов
Рисунок124. Настройка требований
17. Перейдите в раздел Сканирование→ Задачи.
18. Создайте новую задачу сканирования, путем копирования задачи «Compliance
Windows» назвав ее «Принадлежность пользователя к группе локальных
администраторов», выберите профиль «Принадлежность пользователя к группе локальных
администраторов» и добавьте узлы 172.16.8.51 и 172.16.8.31.
104Оценка соответствия требованиям стандартов
Рисунок125. Создание новой задачи
19. Запустите задачу и по завершении задачи сканирования откройте и изучите скан,
переключившись на вкладку Compliance.
Примечание. Обратите внимание на применимость стандарта к узлам. В случае с узлом,
выполняющим роль контроллера домена, обратите внимание на несоответствие стандарту,
поскольку вместо локальных групп контроллер домена содержит доменные группы и
учетные записи, не указанные в нашем белом списке администраторов.
105Оценка соответствия требованиям стандартов
Рисунок126. Результат сканирования
20. Для составления отчета по всем узлам перейдите к меню Отчеты→ .
Рисунок127. Составление отчета по всем узлам
21. В параметрах отчета задайте следующие опции:
Форма — MHTML file (.mht);
Тип отчета — Информация;
Исходные данные — По задаче/задачам;
Тип данных — Compliance;
Выбор скана — Последний скан;
Дата — Интервал (укажите дату сканирования);
106Оценка соответствия требованиям стандартов
Соответствие задач и стандартов — Добавить.
22. Отметьте задачу, для которой генерируется отчет. В нашем случае это задача
«Принадлежность пользователя к группе локальных администраторов».
23. В поле Стандарты поставьте флажки созданных ранее стандартов «Принадлежность
пользователя к группе локальных администраторов» и нажмите кнопку ОК.
Рисунок128. Параметры отчета
24. По завершении настройки отчета сохраните его и запустите генерацию, выполнив двойной
щелчок левой кнопкой мыши на названии отчета.
107Оценка соответствия требованиям стандартов
Рисунок129. Запуск генерации
4.2.3. Часть 3. Контроль целостности для UNIX-систем
1. Включите виртуальную машину Linux и войти в систему.
2. Вычислите контрольную сумму файла /etc/passwd.
Рисунок130. Контрольная сумма файла
108Оценка соответствия требованиям стандартов
3. Перейдите в консоль системы MaxPatrol8.
4. Создайте новый стандарт «Контроль целостности файлов UNIX» и отметьте Linux в блоке
Применимость к операционным системам.
Рисунок131. Выбор применимости к операционным системам
5. Добавьте только одно требование (4424795) из Универсальные проверки.
Рисунок132. Добавление требования
109Оценка соответствия требованиям стандартов
6. Создайте новое переопределение «Контрольные суммы», при этом в области Настройки
требований укажите path='/etc/passwd',sumtype='md5',sumvalue='сумма', где вместо
слова «сумма» следует вписать значение контрольной суммы, полученной на шаге номер 2
(см. пример на рисунке ниже) и нажмите на кнопку .
Рисунок133. Создание переопределения «Контрольные суммы»
7. Создайте новый профиль сканирования «Контроль целостности UNIX».
8. Включите режим сканирования Compliance.
Рисунок134. Включение Compliance
110Оценка соответствия требованиям стандартов
9. Выберите созданную ранее учетную запись.
Рисунок135. Выбор учетной записи
10. Оставьте включенным только транспорт SSH в настройках сканирования в режиме Audit.
111Оценка соответствия требованиям стандартов
Рисунок136. Выбор транспортов
11. В области Настройки сканирования в режиме Compliance выберите созданное ранее
переопределение.
Рисунок137. Выбор переопределения
12. Создайте новую задачу «Контроль целостности UNIX».
112Оценка соответствия требованиям стандартов
Рисунок138. Создание задачи «Контроль целостности UNIX»
13. Выполните сканирование (длительность — 6-7 минут).
14. Убедитесь, что отклонений не обнаружено.
Рисунок139. Проверка результатов сканирования
15. Перейдите в виртуальную машину Linux.
113Оценка соответствия требованиям стандартов
16. Добавьте пользователя командой adduser.
Рисунок140. Добавление пользователя
17. Выполните повторное сканирование.
18. Убедитесь, что было выявлено нарушение целостности файла /etc/passwd.
114Оценка соответствия требованиям стандартов
5. Создание отчетов
По результатам сканирования могут быть построены отчеты. Отчет создается на основе
шаблона. Шаблон позволяет учесть различные нужды, например, цель формирования отчета
или категорию пользователей, на которую будет ориентирован отчет.
Для работы с отчетами необходимо перейти на вкладку Отчеты.
Рисунок141. Перечень отчетов
В системе имеется несколько готовых шаблонов (они и видны на вкладке Отчеты), но могут
быть добавлены и пользовательские шаблоны.
В этом разделе
Типы отчетов (см.раздел5.1)
Параметры отчетов (см.раздел5.2)
Доставки (см.раздел5.3)
Применение отчетов (см.раздел5.4)
Оценка степени опасности уязвимостей (см.раздел5.5)
Практическая работа 5. Генерация отчетов (см.раздел5.6)
115Создание отчетов
5.1. Типы отчетов
Есть несколько типов отчетов:
1. Информация
2. Дифференциальный;
3. Аналитический;
4. Сравнительный аналитический;
5. Динамический аналитический.
Тип отчета указывается при создании шаблона.
Информационный отчет — это отчет по скану или задаче (задачам). Отчет типа «Информация»
позволяет выделить из документов сканирования указанного скана (сканов) только требуемые
данные.
С помощью этого типа отчетов можно решить следующие задачи:
узнать о состоянии транспортов при сканировании;
провести инвентаризацию с выводом сводной информации или с фильтрацией данных по
контрольным спискам, по узлам;
вывести статистику по стандартам с различными фильтрами и группировками;
предоставить данные по неустановленным обновлениям безопасности (отчет строится по
данным сканирования в режиме Audit и только для обновлений продуктов компании
Microsoft, в отчет не включаются уязвимости с уровнем «информация»);
вывести данные по уязвимостям с различными фильтрами и группировками.
В этом разделе
Дифференциальный отчет (см.раздел5.1.1)
Сравнительный аналитический (см.раздел5.1.2)
Динамический аналитический (см.раздел5.1.3)
Аналитический отчет (см.раздел5.1.4)
Диагностический отчет (см.раздел5.1.5)
5.1.1. Дифференциальный отчет
Дифференциальный отчет применяется для сравнения данных одного или нескольких
сканирований и отображения изменений в состоянии узлов. В процессе построения отчета
этого типа система MaxPatrol8 определяет состояние узла в двух заданных интервалах –
эталонном и изучаемом – и выводит запрошенную информацию. Для данного типа отчетов
116Создание отчетов
необходимо правильно выбрать способ идентификации узлов в сканах, т.е. механизма, с
помощью которого делается вывод о том, что два скана относятся к одному и тому же узлу или
к разным узлам. Дифференциальный отчет позволяет решать следующие задачи:
вывод результатов сравнения с различными группировками и фильтрами: например,
только не устраненные уязвимости;
вывод результатов сравнения с указанием новых данных, изменившихся, устраненными
или оставшихся без изменений.
Для дифференциального отчета по данным сканирования Compliance, созданного в формате
MHT или PDF, существует блок Применимость стандартов. В нем отображается информация о
применимости стандартов к узлам и статусы соответствия узлов стандартам в эталонном и
изучаемом сканах.
5.1.2. Сравнительный аналитический
Отчет «Сравнительный аналитический» позволяет получить картину состояния защищенности
за выбранный интервал времени, выраженную в количественных показателях — метриках. При
настройке шаблона или при формировании отчета указываются требуемые метрики.
Рисунок142. Указание метрик
5.1.3. Динамический аналитический
Отчет «Динамический аналитический» позволяет увидеть динамику изменений метрик с
течением времени.
5.1.4. Аналитический отчет
Этот тип отчетов позволяет строить отчеты регламентированных форм, соответствующие
различным стандартам (например, стандарту PCI DSS 2.0). Такой отчет формируется на
основе одного или нескольких сканов и включает в себя привязку обнаруженных отклонений
от требований и уязвимостей к разделам стандарта.
117Создание отчетов
5.1.5. Диагностический отчет
Диагностический отчет — это разновидность инвентаризационного отчета. Он позволяет
продемонстрировать сводную статистику по проведенным сканированиям, а именно
предоставить информацию о количестве проведенных сканов, времени сканирования на
различных узлах в зависимости от задачи. Для этого используется отчет с типом История
сканирования.
Все отчеты могут быть сформированы в трех форматах:
web-archive (MHT);
PDF;
XML.
5.2. Параметры отчетов
Следует отметить, что вкладка «Отчеты» содержит не сами отчеты, а шаблоны для их
формирования. Поскольку шаблон обычно используется многократно для формирования
отчетов на основе различных данных, то при его настройке поля, предназначенные для выбора
данных, оставляют пустыми. Эти поля заполняются пользователем непосредственно в момент
генерации отчета. С другой стороны, в ряде случаев требуется заполнение всех обязательных
полей, например, при выпуске отчетов по расписанию. С этой точки зрения отчеты могут двух
видов (см. рисунок ниже).
Рисунок143. Виды отчетов
118Создание отчетов
5.3. Доставки
Сформированный пользователем отчет при необходимости может быть сохранен в виде
файла на диске. Однако в некоторых случаях эту процедуру желательно автоматизировать,
например, при запуске задач по расписанию. Для этой цели в MaxPatrol8 предусмотрены так
называемые доставки.
Рисунок144. Вкладка «Доставки»
Есть два типа доставок:
1. Сетевой каталог;
2. Доставка по электронной почте.
5.4. Применение отчетов
Отчеты играют важную роль в системе MaxPatrol8. Фактически, с помощью отчетов решаются
многие задачи, возникающие в ходе управления уязвимостями и контроля соответствия. Далее
приведено несколько примеров.
Таблица4. Задачи и отчеты
Задача Тип отчета Комментарии
Отслеживание изменений в
аппаратном или программ-
ном обеспечении, появление
новых узлов
Дифференциальный отчет по
данным инвентаризации
Контроль изменений в обо-
рудовании:
замена жестких дисков,
сетевых адаптеров;
отслеживание установки
новых программ и
обновлений
Формирование перечня уяз-
вимостей, подлежащих
устранению
Отчет типа «Информация»
по данным сканирования
При формировании отчета
используется фильтр по
группам уязвимостей
119Создание отчетов
Задача Тип отчета Комментарии
Контроль устранения уязви-
мостей
Дифференциальный отчет по
уязвимостям
При формировании отчета
или в него включаются дан-
ные по устраненным уязви-
мостям
5.5. Оценка степени опасности уязвимостей
Наиболее трудоемкий этап процесса управления уязвимостями – это их устранение. Обычно
он включает в себя следующие шаги:
формирование на основе результатов сканирования списка уязвимостей, подлежащих
устранению;
обоснованный выбор вариантов устранения;
выполнение работ по устранению уязвимостей.
На первом этапе среди результатов сканирования отбираются те уязвимости, которые
необходимо устранять. Принятие решения об устранении уязвимости осуществляется на
основе ряда критериев, один из которых – степень опасности.
Формат описания уязвимости представлен на рисунке ниже и включает:
краткое описание;
описание;
инструкцию по исправлению;
оценку по системе CVSSv2 и 3;
ссылки.
120Создание отчетов
Рисунок145. Описание уязвимости
В системе MaxPatrol8 используется два типа классификации уязвимостей по степени риска:
качественная (три степени риска, информация);
система CVSS.
Первая классификация основана на простой градации степени риска уязвимостей.
121Создание отчетов
Рисунок146. Степени риска уязвимостей
Фактически такая система отражает мнение разработчиков сканера относительно степени
опасности уязвимости. При принятии решения об устранении уязвимости этого не всегда
бывает достаточно.
Более гибкие принципы заложены в основу общей системы оценки уязвимостей Common
Vulnerability Scoring System (CVSS). Система CVSS (http://www.first.org/cvss/) предполагает
разбиение характеристик уязвимости на три группы:
базовые (Base);
временные (Temporal);
связанные со средой эксплуатации (Environmental).
Более подробно описание данной системы приведено в Приложении А.
Лежащая в основе CVSS методика позволяет легко оценить информацию о существующих
уязвимостях в информационных системах по различным критериям. Использование
доступного математического аппарата дает возможность адаптировать методику под
конкретные нужды. В отчетах MaxPatrol8 для большинства уязвимостей присутствует базовая
оценка CVSS, для некоторых уязвимостей приведена также и временная оценка.
122Создание отчетов
Рисунок147. Отчет об уязвимости
На втором этапе, после построения перечня уязвимостей, подлежащих устранению,
выбирается вариант устранения уязвимости. Обычно выбирается один из перечисленных
ниже:
обновление системы;
установка «патча»;
переход на новую версию;
123Создание отчетов
изменение конфигурации («workaround»);
отказ от использования уязвимого ПО.
Помочь в выборе приемлемого варианта устранения уязвимости может поле «Решение» в
описании уязвимости.
Наконец, третий этап предполагает выполнение работ по устранению уязвимостей. Обычно
этим занимаются администраторы, ответственные за эксплуатацию соответствующих систем.
Отчеты системы MaxPatrol8 могут помочь в ходе выполнения подобных мероприятий.
5.6. Практическая работа 5. Генерация отчетов
В этом разделе
Часть 1. Формирование простых отчетов (см.раздел5.6.1)
Часть 2. Фильтрация при формировании отчетов (см.раздел5.6.2)
Часть 3. Отчет об уязвимостях, имеющих опубликованный эксплойт (Фильтр CVSS)
(см.раздел5.6.3)
Часть 4. Контроль разрешенного и запрещенного ПО (см.раздел5.6.4)
5.6.1. Часть 1. Формирование простых отчетов
В этой части работы рассматривается процедура формирования отчетов по стандартным
шаблонам на основе результатов ранее проведенных сканирований.
1. Перейдите в Отчеты→ Отчеты, откройте контекстное меню Текущее состояние сети и
нажмите кнопку Изменить.
Рисунок148. Изменение текущего состояния сети
2. В блоке Исходные данные выберите пункт По скану.
124Создание отчетов
Рисунок149. Выбор исходных данных
3. В блоке Выбор задачи и скана выберите задачу «Audit Windows» и скан.
Рисунок150. Выбор задачи и скана
4. Нажмите кнопку Сохранить как… (слева внизу диалогового окна), введите название отчета
и нажмите кнопку ОК.
Рисунок151. Сохранение отчета
5. Выпустите отчет, дважды щелкнув левой кнопкой мыши на название отчета.
6. Нажмите кнопку Открыть отчет, когда отчет будет сформирован.
7. Перейдите в Отчеты→ Отчеты, откройте контекстное меню Текущее состояние сети и
нажмите кнопку Изменить.
Рисунок152. Изменение текущего состояния сети
8. Перейдите обратно к отчету. Просмотрите основные части отчета. Такой отчет будет иметь
следующие разделы:
9. Содержание.
125Создание отчетов
Рисунок153. Содержание
10. Легенда.
126Создание отчетов
Рисунок154. Легенда
11. Параметры отчета.
Рисунок155. Параметры отчета
12. Статистика уязвимостей.
127Создание отчетов
Рисунок156. Статистика уязвимостей
13. Уязвимость объектов.
128Создание отчетов
Рисунок157. Уязвимость объектов
14. Распределение уровней опасности.
129Создание отчетов
Рисунок158. Распределение уровней опасности
15. Проверенные узлы.
130Создание отчетов
Рисунок159. Проверенные узлы
16. Перечень уязвимых служб или ПО.
Рисунок160. Перечень уязвимых служб или ПО
17. Перечень неуязвимых служб или ПО.
131Создание отчетов
Рисунок161. Перечень неуязвимых служб или ПО
18. Перечень неопределенных служб.
Рисунок162. Перечень неопределенных служб
19. Перечень уязвимостей узлов.
132Создание отчетов
Рисунок163. Перечень уязвимостей узлов
20. Информация по уязвимости.
133Создание отчетов
Рисунок164. Информация по уязвимости
21. Для того, чтобы получить картину в целом, то есть сколько всего обнаружено уязвимостей,
какова их критичность, сформируйте отчет, содержащий только статистику, то есть в
настройках отчета в параметре «Содержание отчета» оставьте только «Статистика».
Рисунок165. Настройка содержания отчета
22. Закройте отчет.
134Создание отчетов
5.6.2. Часть 2. Фильтрация при формировании отчетов
1. В предыдущем отчете явно видно большое число уязвимостей высокого уровня. Возникает
вопрос: какие обновления безопасности нужно установить, чтобы закрыть критические
уязвимости? Давайте построим такой отчет. Для этого откройте отчет «Текущее состояние
сети new».
2. Измените язык на Russian.
Рисунок166. Изменение языка
3. «Тип данных» измените на «Неустановленные обновления безопасности».
4. Задайте скан в самом отчете, то есть в поле Выбор задачи и скана выберите задачу
«Audit Windows» и скан.
Рисунок167. Выбор задачи и скана
5. В блоке Информация по уязвимости выберите пункт Выводится только название.
Рисунок168. Информация по уязвимости
135Создание отчетов
6. В блоке Фильтр данных включите По уровню→ Критический.
Рисунок169. Фильтр данных
7. Сохраните отчет.
8. Выпустите отчет, дважды щелкнув левой кнопкой мыши на название отчета.
9. Откройте отчет и обратите внимание на следующие части отчета.
Рисунок170. Части отчета
10. Выпустите отчет по неустановленным обновлениям безопасности в xml формате. Для этого
откройте отчет, измените формат и выберите шаблон.
11. Формат — «XML file (.xml)».
136Создание отчетов
Рисунок171. Изменение формата
12. Шаблон — «paf_plan_report».
13. В блоке Данные для XML-отчета установите Неустановленные обновления
безопасности.
Рисунок172. Установка данных для XML-отчета
14. Сохраните отчет.
15. Выпустите отчет. Такой отчет можно открыть во внешнем табличном процессоре,
например, Excel.
5.6.3. Часть 3. Отчет об уязвимостях, имеющих
опубликованный эксплойт (Фильтр CVSS)
1. Перейдите на вкладку СканированияСправочники.
2. Создайте новый справочник типа «Текст», дав ему название, например, «CVSS».
3. Добавьте в справочник строку like-выражения «%E:F%», затем сохраните справочник.
137Создание отчетов
Рисунок173. Добавление справочника
4. Перейдите на вкладку Отчеты и нажмите кнопку Добавить отчет.
5. В окне Добавление отчета укажите следующие значения параметров:
Название — например «CVSS»;
Формат — Adobe Acrobat Document;
Тип отчета — Информация;
Исходные данные — По скану;
Тип данных — Audit;
Задача — Audit Windows;
Скан — последний документ сканирования;
Содержание отчета — Уязвимость узлов;
Фильтр CVSS v2 — Включить;
Временные векторы — «CVSS» (здесь выберите созданный на шаге 10 справочник);
Выводить уязвимости с неполной оценкой – отключить.
138Создание отчетов
Рисунок174. Настройка содержания отчета
139Создание отчетов
Рисунок175. Фильтр CVSS v2
6. Нажмите кнопку ОК, чтобы сохранить изменения.
7. Выберите в списке раздела Отчеты созданный на предыдущих шагах шаблон отчета и
выпустите отчет, нажав кнопку или дважды щелкните по названию этого шаблона.
8. После завершения генерации отчета можно будет увидеть рейтинг уязвимостей.
Рисунок176. Завершение генерации отчета
9. Нажмите кнопку Открыть отчет.
Примечание. Если нужно сохранить отчет, то нажмите кнопку Сохранить как…
10. Можно убедиться, что все уязвимости, которые попали в отчет в временной оценке CVSS
имеют E:F.
140Создание отчетов
Рисунок177. Уязвимость
5.6.4. Часть 4. Контроль разрешенного и запрещенного
ПО
Иногда возникает задача контроля отсутствия на узлах сети запрещенного ПО и наличия
обязательного ПО. Например, в качестве запрещенного ПО могут выступать различные
торрент-трекеры, сетевые сканеры. В то же время наличие антивируса может быть
обязательным требованием. MaxPatrol8 является удобным инструментом для контроля за
установленным ПО.
В этой работе мы получим список запрещенного ПО. Аналогичным образом контролируется и
разрешенное ПО.
1. Для контроля за ПО вначале потребуется создать соответствующий список. Для этого
перейдите на вкладку Сканирования, выберите Справочники, а затем нажмите кнопку
для добавления нового справочника.
2. В диалоговом окне Добавление справочника задайте параметры: Название
справочника — Запрещенное ПО; Тип справочника — Текст; запрещенным ПО будет
WinSCP.
141Создание отчетов
Рисунок178. Добавление параметров
3. Перейдите к созданию соответствующего отчета.
4. Выберите следующие опции для построения отчета:
Формат — MHTML file (.mht);
Тип отчета — Информация;
Исходные данные — По скану;
Тип данных — Инвентаризация;
Выбор задачи и скана — «Audit Windows» и последний скан;
Вывод данных — По контрольным спискам;
Информация, включаемая в отчет — Все ПО.
5. В модуле Контрольные списки выберите следующие значения:
Тип списка — Запрещенное ПО;
Списки ПО — ранее составленный нами справочник «Запрещенное ПО»;
Группировка данных — ПО — Узел;
Информация о ПО — Путь установки (будет полезным знать, где именно на узле
находится данное ПО, особенно учитывая, если отчет составляется по анализируемому
ПО).
142Создание отчетов
143Создание отчетов
Рисунок179. Выбор значений
6. Сохраните шаблон и далее выпустите отчет. В результате будет получена сводная
информация по узлам с указанием количества обнаруженного запрещенного ПО и списком
запрещенного ПО.
Рисунок180. Сводная информация
144Создание отчетов
6. Сканирование по расписанию
Проведение сканирования по расписанию является основой для обеспечения процесса
управления уязвимостей, так как этот процесс является циклическим. В системе MaxPatrol8
существует возможность запуска задач по расписанию. Для формирования запланированных
действий используется вкладка Планировщик.
Рисунок181. Область настройки «Планировщик»
В панели Запланированные задачи отображается список запланированных задач
(расписаний), существующих в системе. Для каждой запланированной задачи указаны
следующие параметры:
Название – имя запланированной задачи;
Задача – имя задачи, заданной на вкладке Сканирования в разделе Задачи, для которой
создается запланированное действие;
Сценарий запуска – назначение и способ запуска задачи;
Владелец – название группы пользователей, которая является владельцем данного
расписания;
Время предыдущего запуска;
Время следующего запуска;
Ошибки.
Управление запланированными задачами выполняется с помощью панели инструментов,
находящейся непосредственно над списком запланированных задач, или с использованием
контекстного меню.
В этом разделе
Сценарии запуска (см.раздел6.1)
Практическая работа 6. Создание расписания (см.раздел6.2)
6.1. Сценарии запуска
Существует несколько сценариев запуска. Их выбор осуществляется в зависимости от
поставленных целей.
145Сканирование по расписанию
Рисунок182. Сценарии запуска
В этом разделе
Сценарий «Последовательный запуск» (см.раздел6.1.1)
Сценарий «Выпуск отчета» (см.раздел6.1.2)
Сценарий «Контроль за устранением уязвимостей» (см.раздел6.1.3)
Сценарий «Обеспечение достоверности сканирования» (см.раздел6.1.4)
Сценарий «Импорт данных» (см.раздел6.1.5)
6.1.1. Сценарий «Последовательный запуск»
Сценарий «Последовательный запуск» обеспечивает запуск отдельных задач
последовательно в указанном порядке, при этом следующая задача запускается, только если
предыдущая завершена или если запуск задачи существенно не повлияет на скорость
выполнения уже выполняющейся задачи. Таким образом, задачи будут выполнены
последовательно в максимально короткий срок.
146Сканирование по расписанию
Рисунок183. Сценарии запуска
Настройка расписания осуществляется в диалоговом окне Параметры запуска.
147Сканирование по расписанию
Рисунок184. Настройка расписания
Разрешенные интервалы для сканирования зависят от регламентов работы ИС, и как правило
сервера и рабочие станции имеют разные разрешенные интервалы для сканирования.
Сервера можно сканировать ночью и в выходные дни. Рабочие же станции лучше сканировать,
когда большинство из них включены, то есть днем в рабочие дни.
6.1.2. Сценарий «Выпуск отчета»
Сценарий «Выпуск отчета» позволяет выпустить и доставить отчет по последнему скану в
заданное время без запуска задачи. При настройке выбирается доставка отчета, время
выпуска и доставки отчета, а также периодичность указываются в окне Параметры запуска.
148Сканирование по расписанию
Рисунок185. Выпуск отчета
6.1.3. Сценарий «Контроль за устранением уязвимостей»
Процесс управления уязвимостями обычно содержит этап контроля, в ходе которого
выполняется проверка правильности устранения выявленных уязвимостей. Для этого могут
быть применены различные механизмы: повторные сканирования или анализ журналов
соответствующих систем. В системе MaxPatrol8 для этой цели можно использовать сценарий
«Контроль за устранением уязвимостей». Если результаты последнего скана указанной в
расписании задачи содержат уязвимости, и с момента их обнаружения времени прошло
больше, чем указанный период на устранение, будет проведено новое сканирование, а отчет
будет включать в себя данные об устранении (или неустранении) уязвимостей.
149Сканирование по расписанию
Рисунок186. Контроль устранения уязвимостей
Анализ результатов осуществляется за период, указанный в поле Период на исследование.
Например, если в этом поле указано 10 дней, то результаты сканирований берутся за
последние 10 дней. Параметр «Группы уязвимостей» позволяет задать перечень уязвимостей,
подлежащих устранению.
Сценарий «Контроль стандарта» работает аналогичным образом, но проверяется процесс
приведения систем в соответствие требованиям различных стандартов.
6.1.4. Сценарий «Обеспечение достоверности
сканирования»
Сценарий «Обеспечение достоверности сканирования» позволяет проконтролировать
уровень достоверности сканирования в заданном интервале времени. Понятие уровня
достоверности имеет смысл для режимов Audit и Compliance, так как зависит от работы
транспортов.
150Сканирование по расписанию
Рисунок187. Достоверность результатов
При настройке этого сценария указывается задача, уровень достоверности и интервал
времени, в котором следует выбирать скан, соответствующий указанному уровню
достоверности.
Рисунок188. Настройка сценария
Если в указанном интервале времени есть узлы, для которых нет скана с требуемой
достоверностью, то система проводит сканирование этих узлов. Если указан «Произвольный»
уровень достоверности, то по результатам проверки проводится сканирование тех узлов, для
которых сканирование в указанном промежутке времени не выполнялось.
151Сканирование по расписанию
6.1.5. Сценарий «Импорт данных»
Сценарий «Импорт данных» предназначен для импорта различных объектов (например, задач)
в сервер MaxPatrol8 из внешнего файла. Данная функция позволяет управлять заданиями в
системе MaxPatrol8 из программных продуктов сторонних производителей. Кроме того, одной
из важных задач, которые можно решить этим способом, является импорт узлов из Microsoft
Active Directory. Для автоматического импорта списка мишеней из базы данных Active
Directory надо указать сценарий «Импорт списка узлов из Active Directory», а в поле
«подключение к AD» задать строку с LDAP URI, содержащую Distinguished Name ветви AD с
интересующими нас узлами, названием импортируемого атрибута и указанием на глубину
поиска узлов. Например:
DC=dca,DC=local; (memberof= CN=testgroup,CN=Computers,DC=dca,DC=local); dnshostname;
subtree
Меняя эти параметры можно добиться импорта списка узлов, расположенных в определенных
подразделениях. Например, если серверы и рабочие станции вынесены в разные ветви AD, то
можно автоматически наполнять задачу тематическими мишенями. Другой пример: если стоит
задача провести сканирование узлов определенного подразделения компании, то можно
автоматически заполнять задачу узлами из указанного подразделения, при условии, что они
расположены в определенной ветви дерева AD.
152Сканирование по расписанию
Рисунок189. Добавление расписания
6.2. Практическая работа 6. Создание расписания
В этом разделе
Сценарий последовательный запуск. Интеграция с MP SIEM (см.раздел6.2.1)
Импорт узлов из Active Directory (см.раздел6.2.2)
153Сканирование по расписанию
6.2.1. Сценарий последовательный запуск. Интеграция с
MP SIEM
В этой части практической работы мы создадим сценарий, в котором будем запускать задачу
на сканирование сервером раз в три месяца первого числа, для которых разрешенным
временем сканирования являются 00:00—07:00 и 21:00—00:00, потом формируем отчет в
формате MPX import.xml и доставляем его в папку.
1. Откройте вкладку ОтчетыОтчеты.
2. Для отчета «Текущее состояние сети new» измените формат на MPX import.xml.
Рисунок190. Выбор формата
3. Сохраните.
4. Далее сделаем доставку. Для этого откройте вкладку Доставки.
5. Нажмите кнопку (Добавить доставку) и заполните поля в соответствии с рисунком
ниже.
154Сканирование по расписанию
Рисунок191. Добавление доставки
6. Нажмите кнопку Проверить.
Рисунок192. Проверка
7. Сохраните, нажав кнопку ОК.
8. Перейдите в Планировщик для создания расписания.
9. Нажмите кнопку (Добавить расписание):
• Введите название «Audit Windows»;
• Выберите Сценарий запуска — Последовательный запуск;
• Задача — Audit Windows.
155Сканирование по расписанию
Рисунок193. Добавление расписания
10. В блоке Параметры запуска нажмите кнопку Настройка.
11. В появившемся диалоговом окне выставите параметры в соответствии с нашим
регламентом:
Выполнять задачу — Ежемесячно;
• Каждые «3» месяца;
Недопустимые интервалы сканирования — для всех дней неделе установить с 07:00 –
21:00
Рисунок194. Добавление диапазона
156Сканирование по расписанию
Рисунок195. Интервалы сканирования
12. Для сохранения нажмите ОК.
13. В блоке Отчеты и их доставка по завершении задачи добавьте отчет и доставку,
созданные в начале данной практической работы.
157Сканирование по расписанию
Рисунок196. Добавление отчета и доставки
14. Сохраните созданное расписание.
15. Запустите расписание и убедитесь, что отчет попал в соответствующую папку.
6.2.2. Импорт узлов из Active Directory
Цель: настроить расписание импорта узлов в задачу из контроллера домена.
1. Запустите утилиту AD Explorer.
2. В настройках подключения укажите:
Connect to— 172.16.8.51
User— Administrator
Password— 1111
158Сканирование по расписанию
Рисунок197. Настройка подключения
3. Нажмите кнопку ОК для подключения.
4. Изучите структуру расположения компьютеров в Active Directory («CN=Computers»).
Рисунок198. Структура расположения компьютеров
5. Убедитесь, что на виртуальной машине с установленным MaxPatrol8 Server в списке DNS-
серверов используется адрес виртуальной машины Windows 2012 (172.16.8.51).
6. Перейдите на вкладку Планировщик и создайте новое расписание
159Сканирование по расписанию
7. Укажите сценарий запуска Импорт узлов из Active Directory, выберите Запустить после
создания и далее произведите настройку параметров запуска – нажмите кнопку
Настройки.
Рисунок199. Импорт узлов из Active Directory
8. В диалоговом окне Параметры запуска ничего не меняйте. Нажмите кнопку ОК.
160Сканирование по расписанию
Рисунок200. Параметры запуска
9. Добавьте новый запрос к Active Directory, указав сервер AD (172.16.8.51), учетную запись
(логин: Administrator; пароль: 1111), запрос к Active Directory:
«CN=Computers,DC=edu,DC=ptsecurity, DC=com;(objectcategory=Computer);
dnshostname»
161Сканирование по расписанию
Рисунок201. Добавление нового запроса к Active Directory
10. Нажмите кнопку Проверить запрос.
11. Убедитесь, что нужные узла найдены, нажав на Найдено … узлов.
Рисунок202. Найденные узлы
12. Добавьте задачу, в которую будут добавлены узлы из Active Directory и укажите профиль,
который будет использоваться при сканировании.
Рисунок203. Добавление задачи
162Сканирование по расписанию
13. Нажмите кнопку ОК.
14. Убедитесь, что найденные узлы корректно добавились в задачу.
Рисунок204. Проверка узлов
163Сканирование по расписанию
7. Общая система оценки уязвимостей (common
vulnerability scoring system)
В этом разделе
CVSS v2 (см.раздел7.1)
CVSS v3 (см.раздел7.2)
7.1. CVSS v2
Система CVSS предполагает разбиение характеристик уязвимости на три группы:
1. базовые (Base);
2. временные (Temporal);
3. связанные со средой эксплуатации (Environmental).
Для каждой из групп определен четкий набор параметров, имеющих определенный набор
возможных значений. В результате применения методики для каждой из групп получается
число в диапазоне от нуля до десяти.
Базовые характеристики уязвимости включают параметры, не меняющиеся с течением
времени. Сюда входят:
Вектор эксплуатации (Access Vector, AV) с возможными значениями:
локальной (Local);
удаленной через смежную сеть (Adjacent Network);
удаленной через глобальную (Network).
Сложность использования (Access Complexity, AC):
высокая (High);
средняя (Mid);
низкая (Low).
Требования к аутентификации (Authentication, Au):
не требуется (None);
требуется один раз (Single);
требуется множество раз (Multiple).
164Общая система оценки уязвимостей (common vulnerability scoring system)
Последствия использования уязвимости с точки зрения конфиденциальности
(Confidentiality Impact, C):
влияние отсутствует (None);
частичное влияние (Partial);
полное нарушение одного из свойств ИС (Complete).
Последствия использования уязвимости с точки зрения целостности (Integrity Impact, I):
влияние отсутствует (None);
частичное влияние (Partial);
полное нарушение одного из свойств ИС (Complete).
Последствия использования уязвимости с точки зрения доступности (Availability Impact, A):
влияние отсутствует (None);
частичное влияние (Partial);
полное нарушение одного из свойств ИС (Complete).
При оценке характеристик уязвимости, изменяющихся во времени, используются такие
параметры, как
Возможность использования (Exploitability):
Not Defined;
Unproven: методов использования не описан или носит теоретический характер;
Proof of Concept: существует код (или информация), доказывающая возможность
использования уязвимости, но его нельзя использовать для атак без модификаций;
Functional: существует работоспособный эксплойт;
High: существует червь либо полностью автоматическая программа, использующая
уязвимость.
Наличие возможности устранения уязвимости (Remediation Level):
Not Defined;
наличие официального исправления (Official Fix);
наличие временного исправления (Temporary Fix);
наличие рекомендаций по снижению степени риска Workaround;
Unavailable.
Достоверность информации об уязвимости (Report Confidence):
Not Defined;
Уязвимость может носить статус неподтвержденной (Unconfirmed);
165Общая система оценки уязвимостей (common vulnerability scoring system)
Уязвимость может быть подтвержденной несколькими независимыми источниками
(Uncorroborated);
Уязвимость может быть подтвержденной производителем (Confirmed).
Третья часть параметров позволяет учесть влияние уязвимости на конкретную
информационную систему. Учитываются два параметра:
Потенциальный ущерб от использования уязвимости (Collateral Damage Potential):
Not Defined;
None;
Low;
Low – Medium;
Medium – High;
High.
Количество уязвимых систем (Target Distribution):
Not Defined;
None – потенциальные цели атаки отсутствуют или присутствуют только в
непродуктивных системах;
Low – уязвимо до 25% всех систем;
Medium – уязвимо от 25% до 75%;
High – более 76-100% всех систем могут являться целью атаки.
7.2. CVSS v3
В июне 2015 года FIRST опубликовал финальную версию стандарта CVSSv3.
Система CVSS v3 также, как и CVSS v2 предполагает разбиение характеристик уязвимости на
три группы:
базовые (Base);
временные (Temporal);
связанные со средой эксплуатации (Environmental).
Для каждой из групп определен четкий набор параметров, имеющих определенный набор
возможных значений. В результате применения методики для каждой из групп получается
число в диапазоне от нуля до десяти.
166Общая система оценки уязвимостей (common vulnerability scoring system)
В рамках новой версии стандарта вводятся следующие понятия:
уязвимый компонент (vulnerable component) — тот компонент информационной системы,
который содержит уязвимость и подвержен эксплуатации;
атакуемый компонент (impacted component) — тот, конфиденциальность, целостность и
доступность которого могут пострадать при успешной реализации атаки.
В большинстве случаев уязвимый и атакуемый компоненты совпадают, но есть и целые классы
уязвимостей, для которых это не так, например:
выход за пределы песочницы приложения;
получение доступа к пользовательским данным, сохраненным в браузере, через
уязвимость в веб-приложении (XSS);
выход за пределы гостевой виртуальной машины.
Согласно новому стандарту, метрики эксплуатируемости рассчитываются для уязвимого
компонента, а метрики воздействия для атакуемого. В CVSSv2 не было возможности описать
ситуацию, в которой уязвимый компонент и атакуемый различаются.
Базовые характеристики уязвимости включают параметры, не меняющиеся с течением
времени. Сюда входят следующие метрики:
Вектор атаки (Attack Vector, AV) — степень удаленности потенциального атакующего от
уязвимого объекта:
есть физический доступ (Physical);
локально (Local);
удаленно через смежную сеть (Adjacent Network);
удаленно через глобальную сеть (Network).
Сложность эксплуатации уязвимости (Attack Complexity, AC) — качественная оценка
сложности проведения атаки. Чем больше условий должно быть соблюдено для
эксплуатации уязвимости — тем выше сложность:
высокая (High);
низкая (Low).
Требуемый уровень привилегий (Privileges Required, PR) — Требуется ли аутентификация
для проведения атаки, и если требуется, то какой требуется уровень привилегий:
не требуется (None);
низкий (Low);
высокий (High).
167Общая система оценки уязвимостей (common vulnerability scoring system)
Необходимость взаимодействия с пользователем (User Interaction, UI) — требуются ли для
успешной реализации атаки какие-либо действия со стороны пользователя атакуемой
системы:
не требуется None (N);
требуется Required (R).
Границы эксплуатации (Scope, S) — отличаются ли эксплуатируемый и атакуемый
компоненты, то есть позволяет ли эксплуатация уязвимости нарушить
конфиденциальность, целостность и доступность какого-либо другого компонента
системы:
не отличаются Unchanged (U);
отличаются Changed (С).
Оценка степени влияния на конфиденциальность, целостность и доступность атакуемого
компонента (Confidentiality Impact, С; Integrity Impact, I; Availability Impact, A):
не влияет None (N);
среднее влияние Medium (M);
высокое High (H).
168Общая система оценки уязвимостей (common vulnerability scoring system)
Positive Technologies — ведущий разработчик решений для
кибербезопасности. Наши технологии и сервисы используют более
2300организаций по всему миру, в том числе 80%компаний из
рейтинга «Эксперт-400». Уже 20лет наша основная задача —
предотвращать хакерские атаки до того, как они причинят
неприемлемый ущерб бизнесу и целым отраслям экономики. Positive
Technologies — первая и единственная компания из сферы
кибербезопасности на Московской бирже (MOEX: POSI).